Copiar, pegar y quedarse sin cuenta: así funciona ConsentFix, la nueva estafa que roba accesos a cuentas de Microsof
No hace falta descargar virus: basta un simple descuido para que un ataque tenga éxito.
Новая схема под названием «ConsentFix» расширяет возможности уже известной социальной атаки ClickFix и позволяет перехватывать учётные записи Microsoft без паролей и прохождения многофакторной проверки. Для этого злоумышленники используют легитимное приложение Azure CLI и особенности OAuth-авторизации, превращая стандартный процесс входа в инструмент угонов.
ClickFix основана на том, что пользователю показываются псевдосистемные инструкции с просьбой запустить команды или выполнить несколько шагов якобы для устранения ошибки или подтверждения «человечности». Вариант «ConsentFix», описанный командой Push Security, сохраняет общий сценарий обмана, но вместо установки вредоносного ПО нацелен на кражу кода авторизации OAuth 2.0, который затем применяется для получения токена доступа Azure CLI.
Атака стартует с перехода на скомпрометированный легитимный сайт, хорошо индексируемый в Google по нужным запросам. На странице появляется поддельный виджет Cloudflare Turnstile с просьбой указать рабочий адрес электронной почты. Скрипт злоумышленников сверяет введённый адрес с заранее подготовленным списком целей и отсеивает ботов, аналитиков и случайных посетителей. Только для выбранных жертв появляется следующий этап, стилизованный под типичный сценарий ClickFix с якобы безобидными шагами проверки.
Жертве предлагается нажать кнопку входа, после чего в отдельной вкладке открывается настоящий домен Microsoft. Однако используется не обычная форма логина, а страница авторизации Azure, создающая код OAuth специально для Azure CLI. При активной сессии Microsoft достаточно выбрать учётную запись, в остальных случаях происходит обычный вход через подлинную форму.
После успешной авторизации браузер перенаправляется на localhost, а в адресной строке появляется URL с кодом авторизации Azure CLI, привязанным к аккаунту. Финальный шаг обмана — вставка этого адреса обратно на вредоносную страницу согласно «инструкции». В этот момент злоумышленник получает возможность обменять код на токен доступа и управлять учётной записью через Azure CLI без знания пароля и без прохождения многофакторной аутентификации. При активной сессии вход фактически вообще не запрашивается. Для снижения риска раскрытия сценарий запускается только один раз с каждого IP-адреса.
Специалисты Push Security рекомендуют защитным командам отслеживать нетипичную активность Azure CLI, включая входы с непривычных IP-адресов, а также контролировать использование устаревших прав доступа Graph, на которые делает ставку эта схема для обхода стандартных средств обнаружения.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!