APT yang dikenal sebagai TA2552 telah terlihat menggunakan OAuth2 atau metode otorisasi berbasis token lainnya untuk mengakses akun Office 365, dengan tujuan mencuri kontak dan email pengguna.
OAuth adalah standar terbuka untuk delegasi akses, biasanya digunakan sebagai cara bagi orang untuk masuk ke layanan tanpa memasukkan sandi – menggunakan status masuk di layanan atau situs web tepercaya lainnya. Contohnya seperti “Sign in with Google” atau “Sign in with Facebook”.
Menurut peneliti dari Proofpoint, target menerima umpan yang dibuat dengan baik yang meminta mereka untuk mengklik tautan yang membawa mereka ke halaman persetujuan aplikasi pihak ketiga Microsoft yang sah.
Di sana, mereka diminta untuk memberikan izin hanya-baca ke aplikasi pihak ketiga (berbahaya) yang menyamar sebagai aplikasi organisasi nyata.
Aplikasi berbahaya meminta akses hanya baca ke kontak, profil, dan email pengguna – semuanya dapat digunakan untuk mengintip akun, diam-diam mencuri data, atau bahkan mencegat pesan reset password dari akun lain, seperti perbankan online.
Peneliti Proofpoint menambahkan bahwa pengguna harus mengetahui izin yang diminta ini, dan semua aplikasi pihak ketiga lainnya.
Jika persetujuan diberikan, aplikasi pihak ketiga akan diizinkan untuk mengakses akun Office 365 yang saat ini diautentikasi. Jika persetujuan ditolak, browser akan dialihkan ke halaman yang dikendalikan penyerang, memberikan aktor kesempatan untuk mencoba lagi dengan taktik yang berbeda.
Proofpoint menambahkan bahwa meskipun pesan bertema pajak dan pemerintah Meksiko adalah target spoofing normal untuk kampanye tersebut, peneliti juga mengamati iming-iming dan aplikasi yang meniru Netflix Mexico dan Amazon Prime Mexico.
Pengguna dapat melindungi diri mereka dengan memastikan bahwa aplikasi apa pun yang mereka masuki benar-benar sah. Mereka juga dapat menerapkan strategi kesadaran phishing dasar, seperti mencari ejaan dan tata bahasa yang buruk pada email. Selain itu, nama aplikasi dan URL domain dapat memberikan tanda bahaya.
Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post
