Cómo se ha hecho a Gmail el ataque de Spam masivo por OAuth2

Ayer fue un día en el que se produjo uno de los ataques de spam para robar cuentas de Gmail más masivo de los que se conocen, por hacerse de manera viral aprovechándose de los permisos OAuth que soporta el esquema de cuentas de Gmail. Muchísimas personas, en sus cuentas de Gmail, acabó recibiendo un correo de alguno de sus contactos con el spam y el phishing para robarle la cuenta.

Figura 1: Cómo se ha hecho a Gmail el ataque de spam masivo por OAuth2

De este ataque os hablé hace ya más de un año, en concreto en la RootedCON del 2016 cuando presentamos Sappo (Spear APPs to steal OAuth-Tokens), una herramienta para realizar ataques de Spear Phishing que no busca robar usuarios y contraseñas, sino tokens OAuth que den acceso a tu cuenta completa. La conferencia completa la tenéis en este vídeo, y si queréis entender los detalles del ataque completos, merece la pena que la veáis.
Figura 2: Solo hay que besar un Sappo
El ataque que se produjo ayer fue exactamente así, pero contra un entorno Gmail. La ventaja, tal y como se explica en la charla que impartimos hace más de un año, es que si te roban un token OAuth no importa si tienes un segundo factor de autenticación, o si has cambiado la contraseña. No necesitan tus credenciales, solo que le des permiso a una app maliciosa creada, en este caso, en la plataforma de Google.

Figura 3: Demo de cómo robar una cuenta de Office365 por medio de tokens OAuth
Por eso, el correo electrónico que llegaba tenía un único enlace a Google Docs. Se había elegido Google Docs porque cuando la víctima haga clic, llegará a una página de Google en la que se le pedirá que entregue permisos OAuth a una aplicación creada en Google, lo que hace que la víctima no vea nada sospechoso.
Figura 4: e-mail de spam para robar tokens OAuth de Gmail recibido ayer
Como contamos en la charla, el candado es verde, no se pide usuario y contraseña, el dominio es de Google… todo parece seguro. Pero lo que sucede es que se entrega, como se ve en el enlace que viene en el correo, el control a la cuenta a una aplicación maliciosa.

Figura 5: El enlace con la solicitud del firmado del tokens OAuth

A partir de ese momento, el atacante podrá leer el correo, escribir correos, enviar mensajes o, como hicimos en la prueba de concepto de Ransomcloud O365, crear un ransomware que cifre tu correo electrónico y te exija dinero por recuperarlo, algo que estoy seguro que veremos no tardando mucho.
Lo cierto es que la única solución para esto es la que ha aplicado Google, que es matar la app maliciosa para evitar que pueda seguir utilizado los tokens, pero mientras que el equipo de respuesta ante incidentes lo detecte, todos los tokens han podido ser utilizados por el atacante. 

Figura 7: Google elimina la app maliciosa que solicitaba el firmado del token OAuth

El riesgo principal de este tipo de ataques no es tanto el ataque masivo de spam, como se ha hecho ahora, ya que fácilmente se detecta y se cierra. El riesgo es, como se explica en el trabajo de Sappo, los APT con esquemas de Spear Phishing dirigido para robar tokens OAuth de empleados privilegiados dentro de las empresas. Toma precauciones.

Saludos Malignos!

from Un informático en el lado del mal http://ift.tt/2qJYt2M

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s