Microsoft mengatakan serangkaian besar serangan phishing telah menargetkan lebih dari 10.000 organisasi mulai September 2021, menggunakan akses yang diperoleh ke kotak surat korban dalam serangan kompromi email bisnis (BEC) lanjutan.
Pelaku ancaman menggunakan halaman arahan yang dirancang untuk membajak proses otentikasi Office 365 (bahkan pada akun yang dilindungi oleh otentikasi multifaktor (MFA) dengan memalsukan halaman otentikasi online Office.
Dalam beberapa serangan yang diamati, calon korban diarahkan ke halaman arahan dari email phishing menggunakan lampiran HTML yang bertindak sebagai penjaga gerbang memastikan target dikirim melalui redirector HTML.
Setelah mencuri kredensial target dan cookie sesi mereka, pelaku ancaman di balik serangan ini masuk ke akun email korban. Mereka kemudian menggunakan akses mereka dalam kampanye kompromi email bisnis (BRC) yang menargetkan organisasi lain.
“Kampanye phishing skala besar yang menggunakan situs phishing adversary-in-the-middle (AiTM) mencuri kata sandi, membajak sesi masuk pengguna, dan melewatkan proses otentikasi meskipun pengguna telah mengaktifkan otentikasi multifaktor (MFA),” kata tim peneliti Microsoft 365 Defender dan Microsoft Threat Intelligence Center (MSTIC).
“Para penyerang kemudian menggunakan kredensial yang dicuri dan cookie sesi untuk mengakses kotak surat pengguna yang terpengaruh dan melakukan kampanye kompromi email bisnis (BEC) lanjutan terhadap target lain.”
Proses phishing yang digunakan dalam kampanye phishing skala besar ini dapat diotomatisasi dengan bantuan beberapa toolkit phishing open-source, termasuk Evilginx2, Modlishka, dan Muraena yang banyak digunakan.
Situs phishing yang digunakan dalam kampanye ini berfungsi sebagai proxy terbalik dan dihosting di server web yang dirancang untuk mem-proksi permintaan autentikasi target ke situs web sah yang mereka coba masuki melalui dua sesi Transport Layer Security (TLS) terpisah.
Menggunakan taktik ini, halaman phishing penyerang bertindak sebagai agen man-in-the-middle yang mencegat proses otentikasi untuk mengekstrak informasi sensitif dari permintaan HTTP yang dibajak, termasuk kata sandi dan, yang lebih penting, cookie sesi.
Setelah penyerang mendapatkan cookie sesi target, mereka menyuntikkannya ke browser web mereka sendiri, yang memungkinkan mereka untuk melewati proses otentikasi, bahkan jika korban mengaktifkan MFA pada akun yang disusupi.
Untuk mempertahankan diri dari serangan semacam itu, Microsoft merekomendasikan penggunaan implementasi MFA “tahan phish” dengan otentikasi berbasis sertifikat dan dukungan Fast ID Online (FIDO) v2.0.
Praktik terbaik lain yang direkomendasikan yang akan meningkatkan perlindungan termasuk pemantauan upaya masuk yang mencurigakan dan aktivitas kotak surat, serta kebijakan akses bersyarat yang akan memblokir upaya penyerang untuk menggunakan cookie sesi yang dicuri dari perangkat yang tidak sesuai atau alamat IP yang tidak tepercaya.
Sumber: Bleeping Computer
