Des chercheurs de Microsoft alertent sur des campagnes de phishing. Les hackers exploitent le mécanisme de redirection du protocole OAuth pour contourner les protections, avant de déposer des malwares directement sur les machines des victimes. En ligne de mire : les organisations gouvernementales et du secteur public.
Des liens en apparence légitimes, hébergés sur les domaines de Microsoft ou de Google, servent de relais vers des pages malveillantes. La technique ne repose sur aucune faille spécifique : elle détourne un comportement prévu par la norme OAuth elle-même.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Ils exploitent le comportement de OAuth
OAuth (Open Authorization) est le protocole qui permet de se connecter à un service tiers via son compte Google ou Microsoft, sans lui communiquer son mot de passe. Ce mécanisme intègre une fonctionnalité de redirection automatique : lorsqu'une erreur survient lors du processus d'authentification, le système renvoie l'utilisateur vers une URL prédéfinie.
Les attaquants exploitent précisément ce comportement. Ils créent une application dans un environnement Microsoft Entra ID ou Google Workspace sous leur contrôle, en y associant une URL de redirection pointant vers leur propre infrastructure. La requête OAuth est ensuite construite avec des paramètres volontairement invalides pour déclencher une erreur et provoquer la redirection. Tout cela se passe sans qu'aucune page de connexion n'apparaisse à l'écran.
Au début, la victime reçoit un email aux thèmes bien rodés : invitation Teams, réinitialisation de mot de passe, demande de signature électronique, alerte de sécurité sociale. En cliquant sur le lien, elle déclenche ce flux OAuth silencieux et son navigateur est renvoyé vers la page contrôlée par l'attaquant. Pour renforcer la crédibilité de la page malveillante, les attaquants glissent l'adresse email de la victime dans le paramètre "state" de la requête OAuth, ce qui la pré-remplit automatiquement à l'arrivée.
Du lien de confiance au payload exécuté en mémoire
Une fois redirigée, la victime peut atterrir sur un kit de type EvilProxy, conçu pour intercepter identifiants et cookies de session en se positionnant entre elle et le service légitime. Mais dans certains la redirection provoque directement le téléchargement automatique d'une archive ZIP ou d'un loader HTML par "smuggling" sur la machine cible.
L'ouverture du raccourci LNK contenu dans l'archive déclenche une commande PowerShell. Celle-ci commence par sonder le système (les processus actifs, la configuration réseau). Puis elle procède à l'extraction de trois fichiers : un exécutable nommé steam_monitor.exe, une DLL nommée crashhandler.dll et un fichier de données chiffré. L'exécutable - légitime - est utilisé pour charger la DLL malveillante via une technique dite de "DLL side-loading", laquelle dissimule l'activité derrière un processus de confiance. Ensuite, la DLL déchiffre le fichier de données et exécute le payload final directement en mémoire, avant d'établir une connexion vers un serveur de commande et contrôle (C2) externe.
Nous avions déjà repéré des campagnes similaires en juillet dernier, lorsque les experts de Proofpoint avaient identifié plus de 50 fausses applications Microsoft OAuth conçues pour contourner le MFA. Cette fois, les attaquants ne cherchent plus seulement à voler des identifiants via une page de consentement factice, ils exploitent carrément les redirections d'erreur prévues par la norme OAuth elle-même. Microsoft a désactivé les applications OAuth incriminées via Entra ID, mais indique que des activités connexes persistent et nécessitent une surveillance continue.
