마이크로소프트(MS)는 3일(현지시간) 해커들이 오픈인증(OAuth) 시스템의 오류 전환 기능을 악용해 정부 및 공공기관을 겨냥한 새로운 피싱 캠페인을 벌이고 있다고 밝혔다. IT 전문 매체 테크레이더 등 외신이 이를 인용해 보도했다.
공격자들은 주로 마이크로소프트 팀즈 회의 녹화본이나 마이크로소프트 365 비밀번호 초기화 요청으로 위장한 피싱 이메일을 발송했다. 이메일에 포함된 조작된 링크를 클릭하면 오픈인증 과정에서 의도적인 오류가 발생하도록 설계됐다.
오류가 발생하면 사용자는 공격자가 통제하는 피싱 사이트로 자동 연결된다. 마이크로소프트는 "공격자는 자신이 통제하는 주소에 악성코드를 보관함으로써 보안 필터가 도메인을 차단할 때마다 이를 빠르게 변경할 수 있다"고 설명했다.
해당 사이트에서는 압축파일(ZIP) 형태의 악성코드가 기기에 다운로드된다. 피해자가 파일 내 바로가기(LNK)를 실행하면 파워쉘 명령어가 작동해 최종적으로 외부 명령제어(C2) 서버와 연결되는 방식이다.
이번 공격은 오픈인증 페이지에서 직접 로그인 정보를 훔치지는 않는 것으로 파악됐다. 공격자들은 보안 시스템을 우회해 악성코드를 기기에 설치하는 경로로만 이 기능을 악용했다.