Alerta: estafas con Microsoft OAuth abusan de redirecciones para entregar malware en Entra ID
Microsoft ha publicado una alerta de seguridad sobre estafas con Microsoft OAuth en curso que combinan phishing y abuso de redirecciones para llevar a víctimas —especialmente en organizaciones gubernamentales y del sector público— a infraestructura de ataque donde se descarga malware y se comprometen endpoints. La compañía afirma haber deshabilitado aplicaciones OAuth maliciosas en Microsoft Entra, pero advierte que la actividad relacionada persiste y requiere monitorización continua.
La investigación se detalla en el blog oficial de seguridad de Microsoft: Microsoft Security Blog.
Cómo operan las estafas con Microsoft OAuth: redirecciones y “error-based flows”
OAuth (Open Authorization) es un estándar ampliamente usado para autorización delegada mediante tokens de acceso, habitual en escenarios de “Sign in with…” y en flujos entre aplicaciones y proveedores de identidad. En este caso, Microsoft describe cómo los atacantes aprovechan un comportamiento legítimo: la capacidad del proveedor de identidad de redirigir al usuario a una página de destino en determinados escenarios, por ejemplo, cuando se produce un error durante la autenticación/autorización.
Según Microsoft, los atacantes construyen URLs de autorización que parecen normales, pero incluyen parámetros diseñados para provocar un error controlado (por ejemplo, un scope inválido). Ese error es el gatillo para que el flujo termine en una redirección hacia una URI bajo control del adversario, donde se hospeda el contenido malicioso o la cadena de infección.
Ejemplo de URL maliciosa descrita por Microsoft
La compañía incluye un ejemplo de solicitud hacia Entra ID con parámetros intencionalmente mal usados para forzar el error:
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=<app_id>&response_type=code&scope=<invalid_scope>&prompt=none&state=<value>
Microsoft subraya que, aunque la URL se parezca a una autorización OAuth estándar, el objetivo no es obtener un token válido: se busca disparar el error y activar la redirección hacia el dominio del atacante.
Phishing inicial, PhaaS y robo de credenciales: el papel de EvilProxy
Las campañas comienzan con emails de phishing con señuelos típicos de productividad y administración: solicitudes de e-signature, acceso a grabaciones de reuniones de Microsoft Teams, instrucciones de reseteo de contraseña de Microsoft 365 y temáticas políticas para aumentar la tasa de clics. Microsoft añade que los actores habrían utilizado herramientas de envío masivo preconstruidas y soluciones personalizadas en Python y Node.js, además de servicios de correo en la nube y máquinas virtuales para distribuir los mensajes.
En algunos casos, los enlaces maliciosos van incrustados en el cuerpo del email; en otros, se combinan el señuelo y la URL dentro de un PDF adjunto. Tras el clic, las víctimas pueden ser redirigidas a servicios de phishing-as-a-service (PhaaS) como EvilProxy, orientados a interceptar credenciales y cookies de sesión. Para contexto técnico sobre este tipo de kits, Microsoft apunta al fenómeno de PhaaS, y existen análisis públicos previos de alto perfil sobre EvilProxy en el ecosistema de phishing.
Entrega de malware: ZIP, LNK, HTML smuggling y side-loading
Microsoft documenta cadenas de entrega donde la redirección termina en rutas del tipo /download/XXXX que disparan la descarga automática de un archivo ZIP. Entre las cargas observadas, se mencionan ZIP con accesos directos LNK y HTML smuggling loaders, técnicas habituales para eludir inspección y facilitar ejecución en el endpoint.
En un ejemplo descrito por Microsoft, al abrir el LNK se ejecuta un comando de PowerShell que realiza reconocimiento del sistema. Después se lanza un binario legítimo, steam_monitor.exe, utilizado para side-load de una DLL maliciosa (crashhandler.dll). Esa DLL descifra un archivo de datos (crashlog.dat) y ejecuta la carga final en memoria, terminando con una conexión saliente a un endpoint externo de command-and-control (C2).
Por qué esta técnica es relevante para Entra ID, Google Workspace y otros IdP
Microsoft advierte que la técnica no se limita conceptualmente a un único proveedor: un adversario puede construir URLs equivalentes contra servicios de identidad como Microsoft Entra ID o Google Workspace, siempre que existan mecanismos de redirección vinculados a resultados de error o flujos específicos. El punto crítico, según el informe, es que alojar el payload tras una redirect URI controlada por el atacante permite rotación rápida de dominios y rutas cuando los filtros de seguridad bloquean una infraestructura concreta.
Como referencia oficial del estándar, OAuth 2.0 está documentado por la IETF: RFC 6749 (The OAuth 2.0 Authorization Framework).
Cierre: qué cambia con estas estafas con Microsoft OAuth
El mensaje clave del informe es que estas estafas con Microsoft OAuth no necesitan que el usuario otorgue consentimiento a una app ni “robar” tokens de acceso en el flujo normal: el abuso se apoya en forzar errores para activar redirecciones y encadenarlas con PhaaS y entrega de malware, con potencial de toma de control del dispositivo. Microsoft sostiene que ha deshabilitado aplicaciones OAuth maliciosas detectadas en Entra, pero recalca que la actividad continúa y que el seguimiento de eventos OAuth y redirecciones anómalas debe mantenerse como prioridad operativa.
