Microsoft Ungkap Phishing AitM Perbankan dan Serangan BEC yang Menargetkan Raksasa Keuangan

Cyberthreat.id - Perbankan dan organisasi layanan keuangan adalah target dari phishing multi-stage adversary-in-the-middle (AitM) baru dan serangan kompromi email bisnis (BEC), Microsoft telah mengungkapkan.

"Serangan itu berasal dari vendor tepercaya yang dikompromikan dan dialihkan ke serangkaian serangan AiTM dan mengikuti aktivitas BEC yang mencakup banyak organisasi," raksasa teknologi itu mengungkapkan dalam laporan Kamis sebagaimana dirilis The Hacker News.

Microsoft, yang melacak cluster di bawah moniker Storm-1167 yang muncul, menyerukan penggunaan proxy tidak langsung oleh grup untuk melakukan serangan.

Hal ini memungkinkan penyerang untuk secara fleksibel menyesuaikan halaman phishing dengan target mereka dan melakukan pencurian cookie sesi, menggarisbawahi kecanggihan lanjutan dari serangan AitM.

Modus operandinya tidak seperti kampanye AitM lainnya di mana halaman umpan bertindak sebagai proxy terbalik untuk memanen kredensial dan kata sandi satu kali (TOTP) berbasis waktu yang dimasukkan oleh para korban.

"Penyerang mempresentasikan target dengan situs web yang meniru halaman masuk aplikasi yang ditargetkan, seperti dalam serangan phishing tradisional, yang dihosting di layanan cloud," kata Microsoft.

"Halaman masuk tersebut berisi sumber daya yang dimuat dari server yang dikendalikan penyerang, yang memulai sesi autentikasi dengan penyedia autentikasi dari aplikasi target menggunakan kredensial korban."

Rantai serangan dimulai dengan email phishing yang mengarah ke tautan, yang, ketika diklik, mengarahkan korban untuk mengunjungi halaman masuk Microsoft palsu dan mencuri kredensial dan TOTP yang dimasukkan.

Kata sandi yang dipanen dan cookie sesi kemudian digunakan untuk menyamar sebagai pengguna dan mendapatkan akses tidak sah ke kotak masuk email melalui serangan replay. Akses tersebut kemudian disalahgunakan untuk mendapatkan email sensitif dan mengatur serangan BEC.

Terlebih lagi, metode autentikasi dua faktor berbasis SMS baru ditambahkan ke akun target untuk masuk menggunakan kredensial yang dicuri tanpa menarik perhatian.

Dalam insiden yang dianalisis oleh Microsoft, penyerang dikatakan telah memulai kampanye spam massal, mengirimkan lebih dari 16.000 email ke kontak pengguna yang disusupi, baik di dalam maupun di luar organisasi, serta daftar distribusi.

Musuh juga telah diamati mengambil langkah-langkah untuk meminimalkan deteksi dan membangun kegigihan dengan menanggapi email yang masuk dan selanjutnya mengambil langkah-langkah untuk menghapusnya dari kotak surat.

Pada akhirnya, penerima email phishing menjadi sasaran serangan AitM kedua untuk mencuri kredensial mereka dan memicu kampanye phishing lain dari kotak masuk email salah satu pengguna yang akunnya diretas akibat serangan AitM.

"Serangan ini menunjukkan kompleksitas ancaman AiTM dan BEC, yang menyalahgunakan hubungan tepercaya antara vendor, pemasok, dan organisasi mitra lainnya dengan tujuan penipuan keuangan," tambah perusahaan itu.

Perkembangan tersebut terjadi kurang dari sebulan setelah Microsoft memperingatkan lonjakan serangan BEC dan taktik yang berkembang yang digunakan oleh penjahat dunia maya, termasuk penggunaan platform seperti BulletProftLink, untuk membuat kampanye surat berbahaya berskala industri.

Taktik lain memerlukan penggunaan alamat protokol internet (IP) perumahan untuk membuat kampanye serangan muncul secara lokal, kata raksasa teknologi itu.

"Pelaku ancaman BEC kemudian membeli alamat IP dari layanan IP perumahan yang cocok dengan lokasi korban, membuat proxy IP perumahan yang memberdayakan penjahat dunia maya untuk menutupi asal mereka," jelas Redmond.

"Sekarang, dipersenjatai dengan ruang alamat lokal untuk mendukung aktivitas jahat mereka selain nama pengguna dan kata sandi, penyerang BEC dapat mengaburkan gerakan, menghindari bendera 'perjalanan yang tidak mungkin', dan membuka gerbang untuk melakukan serangan lebih lanjut."[]