حذرت مايكروسوفت من حملات تصيّد إلكتروني تستخدم رسائل بريد خبيثة وآليات إعادة التوجيه في بروتوكول OAuth لتجاوز أنظمة الحماية التقليدية في البريد والمتصفحات. هذه الهجمات لا تعتمد على سرقة الرموز أو استغلال ثغرات برمجية، بل تستغل ميزة أصلية في البروتوكول تسمح بإعادة توجيه المستخدمين إلى صفحات محددة في سيناريوهات الخطأ أو التدفقات المعرّفة مسبقاً. المهاجمون يقومون بإنشاء روابط تبدو شرعية باستخدام مزوّدي هوية معروفين مثل Entra ID أو Google Workspace، لكنها تنتهي بصفحات خاضعة لسيطرتهم.
خطوات التنفيذ وسلسلة العدوى
النقطة الأولى للهجوم تبدأ بتطبيق خبيث أنشأه المهاجم داخل بيئة يسيطر عليها، مع إعداد رابط إعادة توجيه نحو نطاق مزيف يستضيف البرمجيات الخبيثة. يتم إرسال روابط التصيّد إلى الضحايا، حيث يُطلب منهم المصادقة عبر التطبيق باستخدام نطاق غير صالح. النتيجة أن المستخدم يقوم عن غير قصد بتنزيل ملف مضغوط (ZIP) يحتوي على اختصار (LNK) يُشغّل أوامر PowerShell فور فتحه. هذه الأوامر تُستخدم لاستكشاف الجهاز، ثم يتم استخراج مثبت (MSI) يضع وثيقة وهمية لإلهاء الضحية، بينما يتم تحميل مكتبة DLL خبيثة باسم crashhandler.dll عبر برنامج شرعي (steam_monitor.exe). هذه المكتبة تفك تشفير ملف آخر (crashlog.dat) وتنفذ الحمولة النهائية في الذاكرة، مما يتيح الاتصال بخادم خارجي للتحكم والسيطرة.
أساليب الإقناع والخداع
الهجمات اعتمدت على مواضيع متنوعة لزيادة مصداقية الرسائل، مثل طلبات التوقيع الإلكتروني، تسجيلات Teams، بيانات اجتماعية ومالية وسياسية. الروابط الخبيثة كانت تُرسل إما مباشرة في جسم البريد أو مدمجة داخل ملفات PDF. ولتعزيز الإقناع، استخدم المهاجمون معامل state في OAuth لتمرير عنوان البريد المستهدف بعد ترميزه، بحيث يظهر تلقائياً في صفحة التصيّد، رغم أن هذا المعامل يفترض أن يُستخدم لتنسيق الطلبات والردود بشكل عشوائي.
أهداف الهجمات وإجراءات مايكروسوفت
الهجمات استهدفت مؤسسات حكومية وقطاع عام، وبعضها استخدم تقنيات إضافية مثل منصات التصيّد EvilProxy التي تعمل كأدوات وسيط لاعتراض بيانات الاعتماد وملفات تعريف الارتباط للجلسات. مايكروسوفت أكدت أنها أزالت عدداً من التطبيقات الخبيثة المبنية على OAuth، ونصحت المؤسسات بتقييد صلاحيات المستخدمين، مراجعة الأذونات بشكل دوري، والتخلص من التطبيقات غير المستخدمة أو ذات الصلاحيات المفرطة.
