ConsentFix: эволюция OAuth‑фишинга, обход защиты конечных точек

Атака ConsentFix — это сложная эволюция методов фишинга, эксплуатирующих механизмы предоставления согласия через OAuth. Обнаруженная агентом Push browser agent, кампания нацелена на пользователей, которые попадают на скомпрометированные или вредоносные веб‑страницы, часто маскирующиеся под легитимные сайты и появляющиеся в результатах поиска Google.

Как работает кампания

Основная тактика заключается в манипулировании пользователем, чтобы тот предоставил согласие на подключение вредоносного приложения к своей облачной среде через OAuth. Для этого злоумышленники используют страницы, размещённые на доменах с высоким уровнем доверия, что затрудняет их выявление обычными пользователями.

Ключевые особенности механизма:

• атака происходит исключительно в браузере, что позволяет обходить традиционные средства защиты конечных точек;
• цель — получить доступ к конфиденциальной информации, включая сохранённые учётные данные и активные сеансы;
• используются легитимные, доверенные домены, что снижает подозрения пользователя;
• синхронизированная блокировка IP-адресов (IP‑blocking) — механизм, предотвращающий повторную попытку фишинга при последующих посещениях связанных сайтов.

Почему это опасно

Поскольку атака реализована на стороне браузера, многие традиционные защитные решения на конечных устройствах оказываются бессильны. Злоумышленники нацелены не на непосредственное внедрение вредоносного ПО, а на получение разрешений и токенов доступа через легитимные механизмы авторизации — следовательно, обнаружить компрометацию сложнее, а последствия могут быть масштабными.

Связь с предыдущими кампаниями и обход защиты в облачных средах

ConsentFix демонстрирует сходство с ранее описанными техникой «consent phishing», где атакующие вынуждают пользователей подключать вредоносные приложения к облачным аккаунтам через OAuth. Однако в этой кампании злоумышленники нашли способ преодолеть ранее встречавшиеся ограничения при атаке корпоративных облаков, таких как Azure.

Причина обхода защиты связана с использованием встроенного доверия, ассоциированного с интерфейсом Azure CLI. Поскольку Azure CLI является приложением от Microsoft (first‑party), оно не подвергается тому же уровню проверки, что внешние приложения, и злоумышленники используют это поведение для получения необходимых разрешений.

Уникальная уклоняющая тактика: синхронизированная блокировка

Особенность кампании — синхронизированная блокировка IP‑адресов: когда пользователь взаимодействует с одной из фишинговых страниц, последующие посещения любых связанных сайтов не будут вызывать повторную попытку фишинга. Такая логика позволяет пользователю продолжать привычный просмотр веб‑страниц, в то время как угроза остаётся активной и незамеченной.

«Атака умело использует доверие к легитимным доменам и встроенные механизмы платформ для обхода стандартных мер защиты» — отмечает агент Push browser agent.

Итоги

ConsentFix — пример того, как злоумышленники адаптируют фишинговые методики к современным механизмам авторизации и доверию платформ. Использование доверенных доменов, браузерной реализации атаки и прицельного применения возможностей, таких как Azure CLI, делает кампанию особенно изощрённой и трудной для обнаружения.

Повышенное внимание к запросам на предоставление прав через OAuth и критический подход к окнам согласия на доступ к аккаунтам остаются ключевыми элементами защиты от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.