一种新型的凭证钓鱼攻击手段正悄然兴起，攻击者巧妙地结合了恶意的OAuth应用和多重重定向链，成功绕过了安全防护，对Microsoft 365环境造成了显著影响。该攻击通过伪装成合法商业请求的钓鱼邮件，诱导用户授权看似无害的第三方应用，实则窃取账户凭证和双重认证令牌。攻击链利用了合法的OAuth框架，并辅以复杂的重定向和验证码页面，大大增加了欺骗性。微软已开始调整默认安全设置以应对此威胁，但用户仍需警惕并验证域名真实性，以防范此类日益复杂的网络攻击。

🎣 **钓鱼邮件与恶意OAuth应用结合**：攻击者通过伪装成合作请求的钓鱼邮件，诱导用户点击链接，这些链接会引导至真实的Microsoft登录页面，并要求用户批准伪装成Adobe、DocuSign等合法服务的恶意OAuth应用。这些应用仅申请基础权限，旨在降低用户的警惕性，成功率超过50%。

🔗 **多重重定向与凭证窃取**：无论用户是接受还是取消授权，都会被重定向至一个中间的验证码页面，随后再跳转至一个伪造的Microsoft登录页面。该页面能够实时窃取用户输入的凭证以及双重认证会话令牌，从而劫持用户账户。

⚙️ **PhaaS平台与隐藏技术**：该攻击链依赖于名为Tycoon的钓鱼即服务（PhaaS）平台构建，已发现超过50个恶意应用参与其中。攻击者利用中间域名隐藏最终的钓鱼页面，并通过CAPTCHA页面来增强欺骗性，让用户误以为整个过程都是合法的。

🛡️ **微软的安全调整与用户防护**：为应对此威胁，微软已调整Microsoft 365默认设置，要求普通用户向第三方应用授予权限需要管理员审批。Proofpoint则强调用户在重定向过程中应时刻验证当前域名，避免提交敏感信息。

📈 **攻击趋势与未来演变**：此类结合合法OAuth框架与社交工程的攻击链正成为犯罪团伙的新标准，预示着未来网络攻击将更加复杂和隐蔽，可能持续演化以绕过现有的检测机制。

HackerNews 编译，转载请注明出处：

Proofpoint安全研究人员发现一种新型凭证钓鱼攻击手段，黑客通过恶意OAuth应用结合多重重定向链劫持Microsoft账户，成功率超50%。2025年至今，该攻击已影响超900个Microsoft 365环境中的近3000个账户。

攻击流程解析

钓鱼邮件启动：攻击者利用被入侵邮箱发送伪装成商业合作请求的钓鱼邮件（如报价申请、合同协议），内容针对目标行业定制化设计，曾仿冒RingCentral、DocuSign等企业服务，甚至伪装小型航空企业ILSMart。恶意应用授权陷阱：邮件内链接导向真实的Microsoft登录授权页面，诱导用户批准伪装成Adobe、DocuSign等合法服务的恶意OAuth应用请求。这些应用仅申请基础权限（如查看个人资料），以降低用户警惕性。多重重定向劫持：无论用户点击“接受”或“取消”授权，均被重定向至验证码中间页，随后跳转至伪造的Microsoft登录页面。该页面实时窃取输入的凭证及双重认证会话令牌。

技术特征与规模

攻击链依赖钓鱼即服务（PhaaS）平台Tycoon构建，已发现超50个恶意应用参与攻击，其中4个仿冒Adobe、5个仿冒DocuSign，其余使用无关名称混淆视听。恶意应用在授权后配置重定向规则，通过中间域名隐藏最终钓鱼页面，利用CAPTCHA页面增强欺骗性，诱使用户误认为处于合法流程中。

防御措施与行业响应

微软宣布调整Microsoft 365默认设置：普通用户向第三方应用授予账户权限需经管理员审批，以阻断恶意应用的权限获取路径。Proofpoint强调用户需时刻验证当前域名真实性，避免在重定向过程中提交敏感信息。

趋势警示：此类结合合法OAuth框架与社交工程的攻击链正成为犯罪团伙新标准，未来或将持续演化以绕过检测机制。

 

 

 

---

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文