Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public.

Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier.

Chaîne d’attaque et impact: Quand l’authentification silencieuse échoue (par ex. erreur 65001, consent non accordé), l’IdP renvoie vers l’URI de redirection de l’application de l’attaquant (ex. /download/XXXX), parfois en téléchargeant automatiquement une archive ZIP. Les charges observées contiennent des fichiers .LNK et du HTML smuggling. À l’exécution, PowerShell lance la reconnaissance (ipconfig /all, tasklist), extrait steam_monitor.exe, crashhandler.dll, crashlog.dat, puis abuse le DLL side-loading (steam_monitor.exe charge crashhandler.dll) pour décrypter et exécuter en mémoire la charge finale et établir une connexion C2. Microsoft signale du pré-rançonnage et des activités « hands-on-keyboard ».

Détections et couverture Microsoft: L’activité est corrélée dans Microsoft Defender via des signaux email, identité et endpoint. Microsoft Entra a désactivé des applications OAuth malveillantes observées, mais des activités connexes persistent. Le billet rappelle que ces abus tirent parti du comportement conforme au standard OAuth (RFC 6749) et des leçons de sécurité d’RFC 9700 (section 4.11.2 sur l’« Authorization Server as Open Redirector »). Des alertes Defender typiques incluent: « Possible initial access from an emerging threat », « Suspicious connection blocked by network protection », « An executable file loaded an unexpected DLL file », « Hands-on-keyboard attack disruption via context signals », « Silent OAuth probe followed by malware delivery attempt ». Des détections Antivirus mentionnent: Trojan:Win32/Malgent, Trojan:Win32/Korplug, Trojan:Win32/Znyonm, Trojan:Win32/GreedyRobin.B!dha, Trojan:Win32/WinLNK, Trojan:Win32/Sonbokli.

IOCs principaux:

  • Microsoft Client Ids (applications OAuth malveillantes):
    • 9a36eaa2-cf9d-4e50-ad3e-58c9b5c04255
    • 89430f84-6c29-43f8-9b23-62871a314417
    • 440f4886-2c3a-4269-a78c-088b3b521e02
    • c752e1ef-e475-43c0-9b97-9c9832dd3755
    • 6755c710-194d-464f-9365-7d89d773b443
    • 3cc07cb4-dba8-4051-82cd-93250a43b53b
    • 8c659c19-8a90-49b0-a9f1-15aeba3bb449
    • bc618bf4-c6d1-4653-8c4d-c6036001b226
    • bc618bf4-c6d1-4653-8c4d-c6036001b226
    • 6efe57d9-b00a-4091-b861-a16b7368ab11
    • f73c6332-4618-4b9d-bcd4-c77726581acd
    • 6fae87b3-3a0f-4519-8b56-006ba50f62c4
    • 1b6f59dd-45da-4ff7-9b70-36fb780f855b
    • 00afba72-9008-454f-bbe6-d24e743fbe73
    • 1b6f59dd-45da-4ff7-9b70-36fb780f855b
    • a68c61ee-6185-4b36-bc59-1dca946d95cb
  • URLs initiales de redirection:
    • https[:]//dynamic-entry[.]powerappsportals[.]com/dynamics/
    • https[:]//login-web-auth[.]github[.]io/red-auth/
    • https[:]//westsecure[.]powerappsportals[.]com/security/
    • https[:]//westsecure[.]powerappsportals[.]com/security/
    • https[:]//gbm234[.]powerappsportals[.]com/auth/
    • https[:]//email-services[.]powerappsportals[.]com/divisor/
    • https[:]//memointernals[.]powerappsportals[.]com/auth/
    • https[:]//calltask[.]im/cpcounting/via-secureplatform/quick/
    • https[:]//ouviraparelhosauditivos[.]com[.]br/auth/entry[.]php
    • https[:]//abv-abc3[.]top/abv2/css/red[.]html
    • https[:]//calltask[.]im/cpcounting/via-secureplatform/quick/
    • https[:]//weds101[.]siriusmarine-sg[.]com/minerwebmailsecure101/
    • https[:]//mweb-ssm[.]surge[.]sh
    • https[:]//ssmapp[.]github[.]io/web
    • https[:]//ssmview-group[.]gitlab[.]io/ssmview

TTPs observées:

  • Abus des redirections d’erreur OAuth avec prompt=none et scopes invalides, cibles Microsoft Entra ID et Google OAuth.
  • Détournement de state pour pré-remplir l’email (plaintext/hex/Base64/schémas custom).
  • Leures email: document sharing/review, Social Security, Teams meeting, password reset, employee report, parfois liens en PDF ou .ics.
  • Passage par des frameworks de phishing type EvilProxy (AiTM), CAPTCHAs/interstitiels.
  • Livraison de charges via /download/XXXX, ZIP, LNK, HTML smuggling.
  • PowerShell reconnaissance, tar extraction, DLL side-loading (steam_monitor.exe → crashhandler.dll), exécution en mémoire et C2.

Conclusion: Il s’agit d’une analyse de menace documentant un abus conforme aux standards OAuth pour rediriger vers des infrastructures malveillantes, avec détails techniques, TTPs et IOCs afin de soutenir la détection et la mitigation.

🧠 TTPs et IOCs détectés

TTP

[‘Abus des redirections d’erreur OAuth avec prompt=none et scopes invalides’, ‘Détournement de state pour pré-remplir l’email’, ‘Utilisation de frameworks de phishing type EvilProxy’, ‘Livraison de charges via ZIP, LNK, HTML smuggling’, ‘Reconnaissance avec PowerShell’, ‘DLL side-loading’, ‘Exécution en mémoire et connexion C2’]

IOC

{‘client_ids’: [‘9a36eaa2-cf9d-4e50-ad3e-58c9b5c04255’, ‘89430f84-6c29-43f8-9b23-62871a314417’, ‘440f4886-2c3a-4269-a78c-088b3b521e02’, ‘c752e1ef-e475-43c0-9b97-9c9832dd3755’, ‘6755c710-194d-464f-9365-7d89d773b443’, ‘3cc07cb4-dba8-4051-82cd-93250a43b53b’, ‘8c659c19-8a90-49b0-a9f1-15aeba3bb449’, ‘bc618bf4-c6d1-4653-8c4d-c6036001b226’, ‘6efe57d9-b00a-4091-b861-a16b7368ab11’, ‘f73c6332-4618-4b9d-bcd4-c77726581acd’, ‘6fae87b3-3a0f-4519-8b56-006ba50f62c4’, ‘1b6f59dd-45da-4ff7-9b70-36fb780f855b’, ‘00afba72-9008-454f-bbe6-d24e743fbe73’, ‘a68c61ee-6185-4b36-bc59-1dca946d95cb’], ‘urls’: [‘https://dynamic-entry.powerappsportals.com/dynamics/’, ‘https://login-web-auth.github.io/red-auth/’, ‘https://westsecure.powerappsportals.com/security/’, ‘https://gbm234.powerappsportals.com/auth/’, ‘https://email-services.powerappsportals.com/divisor/’, ‘https://memointernals.powerappsportals.com/auth/’, ‘https://calltask.im/cpcounting/via-secureplatform/quick/’, ‘https://ouviraparelhosauditivos.com.br/auth/entry.php’, ‘https://abv-abc3.top/abv2/css/red.html’, ‘https://weds101.siriusmarine-sg.com/minerwebmailsecure101/’, ‘https://mweb-ssm.surge.sh’, ‘https://ssmapp.github.io/web’, ‘https://ssmview-group.gitlab.io/ssmview’]}

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/03/02/oauth-redirection-abuse-enables-phishing-malware-delivery/