要求使用者依照指示操作,將惡意指令複製、貼上,然後執行的網釣手法ClickFix,是目前最為氾濫的社交工程攻擊型態,這種手法後續又出現變形,其中包含操作流程都在瀏覽器進行的FileFix,以及結合假系統更新螢幕覆蓋手法的JackFix,如今有結合OAuth身分驗證流程的新型態手法。
經營瀏覽器防護的資安公司Push Security,揭露名為ConsentFix的攻擊手法,它結合了OAuth同意網路釣魚與ClickFix,從而挾持受害者的微軟帳號。這種基於瀏覽器的新型態攻擊手法,攻擊者會誘騙使用者進行簡單的複製貼上,就有機會接管使用者的帳號。更可怕的是,假如使用者已經在瀏覽器登入特定OAuth應用程式,攻擊者就能在無須取得憑證,或是通過多因素驗證(MFA)的情況下得逞,換言之,攻擊者有可能以此繞過通行金鑰(Passkey)等防護措施。
值得留意的是,這種手法已出現實際攻擊。Push Security觀察到駭客濫用Azure CLI的OAuth應用程式,藉由產生特定的OAuth授權碼,引誘受害者登入Azure CLI,並將URL貼上攻擊者控制的網頁。這麼一來,就會在受害者的微軟帳號與攻擊者的Azure CLI實體(instance)之間,建立OAuth連線。
具體來說攻擊如何發生?受害者都是透過Google搜尋,存取被滲透或是惡意的網頁,而大部分受害者存取的網站,都是合法且具備高聲譽,容易被搜尋引擎找到。駭客在攻陷的網站當中,注入仿冒Cloudflare Turnstile的人機辨認頁面,並要求使用者必須輸入電子郵件信箱才能進行驗證流程。此舉目的在防止資安機器人與研究人員進行分析,若非駭客鎖定的目標,使用者輸入電子郵件信箱後,會被帶回原本的網站。
一旦受害者輸入資料並按下驗證,網頁就會顯示下個階段的驗證流程,要求他們登入自己的微軟帳號,完成後複製URL並在特定欄位貼上。若是受害者依照指示並點選網頁上的登入按鈕,他們就會被導向合法的微軟登入網頁並進行驗證,成功登入後,受害者被導向localhost,此處會產生與用戶微軟帳號有關的URL。假如受害者將這些資料貼上圖靈驗證網頁,就會透過Azure CLI把自己的微軟帳號授權給攻擊者。
Push Security指出,ConsentFix是ClickFix與同意網路釣魚的進化,危險程度更上一層樓,使得一般的資安工具難以偵測與攔截。原因是攻擊流程完全在瀏覽器進行,不會像原本的ClickFix會在本機執行命令,再加上攻擊者濫用的Azure CLI是所謂的第一方(微軟平臺本身的)應用程式,通常具備預設信任、擁有特殊權限,以及無法封鎖或刪除等特質,系統也不會套用針對第三方應用程式的資安管制。因此Push Security認為,攻擊者未來可能濫用其他雲端生態系統,進行ConsentFix活動,甚至進一步與其他的即服務(as-a-Service)整合,擴大攻擊造成的危害。
熱門新聞
2025-12-12
2025-12-15
2025-12-12
2025-12-12
2025-12-15
2025-12-12