Consentfix

Um novo tipo de ataque, denominado ConsentFix v3, está circulando em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure. A versão original foi apresentada pela Push Security em dezembro passado, como uma variação do ClickFix, focada em ataques de phishing via OAuth. O ConsentFix v3 mantém a ideia central de abusar do fluxo de autorização OAuth2, mas agora incorpora automação e escalabilidade. O ataque começa com a verificação da presença do Azure no ambiente alvo, seguido pela coleta de dados de funcionários para facilitar a impersonificação. Os atacantes criam várias contas em serviços como Outlook e Cloudflare para suportar operações de phishing e exfiltração de dados. Uma plataforma chamada Pipedream desempenha um papel crucial, atuando como um endpoint de webhook que recebe o código de autorização da vítima e automatiza a troca por tokens de acesso. O fluxo de ataque é finalizado com uma página de phishing que imita a interface do Microsoft/Azure, enganando a vítima a interagir com um URL localhost. Os tokens obtidos permitem que os atacantes acessem recursos da conta comprometida. Apesar de o ConsentFix v3 ainda não ter sido amplamente adotado, as implicações de segurança são significativas, especialmente para organizações que utilizam serviços da Microsoft.