Mar 04, 2026 Attacchi, In evidenza, News, RSS

---

Nuove campagne di phishing stanno sfruttando in modo strumentale il protocollo OAuth per distribuire malware e compromettere endpoint aziendali, con un focus particolare su organizzazioni governative e del settore pubblico. A diffondere la notizia è stata Microsoft stessa che ha rilevato un abuso sistematico dei meccanismi di redirect legittimi previsti dallo standard di autorizzazione.

Secondo quanto comunicato dal team di sicurezza di Redmond, alcune applicazioni OAuth malevole sono già state disabilitate su Microsoft Entra ID, ma attività correlate risultano ancora in corso e richiedono monitoraggio continuo. Non sono stati resi noti dettagli su scala e impatto delle campagne.

OAuth come vettore: quando il redirect diventa arma

OAuth (Open Authorization) è lo standard utilizzato per consentire l’accesso a servizi online tramite credenziali di terze parti, come Google, Facebook o Apple, attraverso l’uso di access token. Una delle funzionalità previste dallo standard permette agli identity provider di reindirizzare l’utente verso una landing page in caso di errore durante il processo di autenticazione. E proprio questa caratteristica viene sfruttata dagli attaccanti.

I criminali creano URL OAuth apparentemente legittimi, utilizzando provider come Microsoft Entra ID o Google Workspace, ma manipolano specifici parametri per generare volutamente un errore nel processo di login. L’errore innesca un redirect verso una pagina sotto il controllo degli attaccanti, dalla quale viene scaricato il payload malevolo.

Un esempio di URL osservato nelle campagne contro Entra ID include parametri come scope non validi e prompt=none, combinati in modo tale da produrre un comportamento anomalo pur mantenendo un’apparenza coerente con una richiesta OAuth standard.

Come evidenziato dai ricercatori Microsoft, l’obiettivo non è il furto degli access token, poiché l’utente non concede alcun permesso all’applicazione. Lo scopo è invece forzare un errore che attivi il meccanismo di redirect, trasformando un flusso legittimo in un veicolo di distribuzione malware.

Dalla mail al C2: la catena di infezione

Le campagne iniziano con email di phishing che simulano richieste di firma elettronica, notifiche di registrazioni di riunioni Teams, reset password Microsoft 365 o contenuti a tema politico. I link malevoli vengono inseriti nel corpo del messaggio o, in alcuni casi, nascosti in allegati PDF.

Gli indicatori suggeriscono l’uso di strumenti di mass mailing preconfigurati, oltre a soluzioni custom sviluppate in Python e Node.js. Sono stati impiegati anche servizi cloud di posta elettronica e macchine virtuali ospitate nel cloud per la distribuzione delle email.

Una volta attivato il redirect OAuth, la vittima viene condotta su piattaforme di phishing-as-a-service come EvilProxy, in grado di intercettare credenziali e cookie di sessione.

In una delle campagne documentate, il redirect conduceva a un percorso /download/XXXX che avviava automaticamente il download di un archivio ZIP. Il contenuto includeva file LNK e loader basati su HTML smuggling.

L’apertura del file LNK innescava l’esecuzione di un comando PowerShell che avviava una fase di ricognizione del sistema. Successivamente veniva eseguito un file legittimo, steam_monitor.exe, utilizzato per effettuare side-loading di una DLL malevola denominata crashhandler.dll.

La DLL provvedeva a decrittare crashlog.dat ed eseguire il payload finale in memoria, stabilendo una connessione outbound verso un endpoint di command-and-control esterno.

Persistenza e rotazione dei domini: evasione dinamica

Un ulteriore elemento critico riguarda la flessibilità dell’infrastruttura attaccante. Ospitando il payload su URI di redirect controllati, gli attori malevoli possono ruotare rapidamente domini e destinazioni quando vengono bloccati dai filtri di sicurezza.

Questo approccio rende più complessa l’attività di detection basata su blacklist statiche e impone l’adozione di controlli comportamentali e analisi dei flussi OAuth anomali.

---

• crashhandler.dll, credential interception, DLL side-loading, EvilProxy, LNK malware, malware delivery, Microsoft Entra ID, OAuth phishing, OAuth redirect abuse, OAuth URL manipulation, phishing-as-a-service, PowerShell attack chain, sicurezza enti pubblici, steam_monitor.exe abuse

---

---