A Microsoft Defender kutatói 2026. március elején olyan kampányt írtak le, ahol a támadók az OAuth protokoll egyik szabványos működését használják ki. Bizonyos hibák esetén az identitásszolgáltató (pl. Microsoft Entra ID) átirányítja a böngészőt a korábban megadott visszatérési címre (redirect URI). A gond az, hogy ezt a visszatérési címet rosszindulatú domainre lehet állítani, így a felhasználó egy teljesen legitimnek tűnő, „login” kezdetű URL-ről indulva végül kártékony oldalra jut.
A megfigyelt támadások célpontjai főként kormányzati és közszférában elhelyezkedő szervezetek. A módszer különlegessége, hogy a támadó nem feltétlenül akar sikeres bejelentkezést vagy tokenlopást. Ehelyett azt éri el, hogy a böngésző átkerüljön a támadó infrastruktúrájára, ahol már jöhet klasszikus adathalászat (például AiTM/EvilProxy jellegű oldallal) vagy akár rosszindulatú fájl letöltése.
A támadó létrehoz egy OAuth alkalmazást a saját tenant-jében, és beállítja a redirect URI-t egy általa kontrollált oldalra. Ezután olyan phishing levelet küld, amelyben az OAuth autorize endpointjára mutató link van, népszerű témákkal, mint e-aláírás, társadalombiztosítás, pénzügyi/politikai tárgyú csalik, illetve meeting/ICS meghívók. A link paraméterezésének kulcsa, hogy a támadó „silent” (felhasználói felület nélküli) próbát váltson ki (prompt=none), és gyakran szándékosan érvénytelen scope-pal hibát generáljon. A hiba miatt az Entra ID a szabvány szerint visszairányít, de a visszairányítás célja a támadó által regisztrált redirect URI lesz. A Microsoft szerint a kampányok gyakran a state paramétert is „félrehasználják”. Nem véletlen korrelációs azonosítót tesznek bele, hanem az áldozat e-mail címét (különféle kódolásokkal), így a céloldalon az e-mail mező automatikusan kitöltve jelenhet meg, ami növeli a hitelesség érzetét.
A vizsgálatban olyan variáns is szerepel, ahol az átirányítás után a felhasználó egy /download/… útvonalra jut, és automatikusan letöltődik egy ZIP. A ZIP-ben LNK és/vagy HTML smuggling komponens is előfordult. A lánc PowerShell futtatással indul, felderítést végez (pl. ipconfig /all, tasklist), majd legitimnek tűnő futtatható állományt csomagol ki és egy DLL-t is. Ezután DLL side-loading történik (a Microsoft példája: steam_monitor.exe mellé tett crashhandler.dll), amely dekódol egy adatfájlt, memóriában futtatja a végső payloadot, és külső C2 kapcsolatot hoz létre.