Satu kampanye khusus yang dianalisis oleh penyedia intelijen ancaman siber, Check Point Research, mengarahkan korbannya melalui serangkaian situs web yang sah dalam upaya mencuri kredensial Microsoft mereka.
Dalam sebuah blog yang diterbitkan pada hari Kamis lalu (6/18), Check Point menggambarkan metode di mana penyerang mengeksploitasi salah satu server mail Universitas Oxford untuk mengirim email awal, menyalahgunakan alat pengalihan Adobe Campaign, dan kemudian menggunakan domain Samsung untuk membawa pengguna ke situs web phishing bertema Microsoft Office 365. Tujuannya adalah untuk mengambil keuntungan dari situs dan layanan yang sah dalam upaya menghindari deteksi software keamanan. Pertama kali terlihat pada bulan April, 43% dari serangan itu menargetkan perusahaan-perusahaan Eropa, sedangkan sisanya ditemukan di Asia dan Timur Tengah.
Sebagian besar email yang diamati berasal dari beberapa alamat yang dimiliki oleh subdomain yang sah dari berbagai departemen di Universitas Oxford. Dengan menggunakan server SMTP Oxford, para penyerang dapat menyelinap melewati pemeriksaan reputasi untuk domain pengirim. Mereka juga dapat menghasilkan alamat email sebanyak yang mereka butuhkan.
Email yang dikirim sendiri mengklaim menawarkan pesan suara yang tidak terjawab terkait dengan akun Office 365 penerima dengan referensi ke Office 365 & Microsoft dan bahkan pemberitahuan “Pesan dari server Tepercaya” palsu di bagian atas. Email tersebut meminta penerima untuk mengklik tombol untuk mendengarkan atau mengunduh pesan suara yang terlewat. Mengklik tombol itu kemudian akan membawa korban yang tidak menaruh curiga ke halaman phishing yang meminta mereka untuk masuk dengan akun Microsoft mereka.
Namun, di balik layar, perjalanan antara email dan halaman phishing melewati beberapa langkah. Pertama, korban diarahkan ke server Adobe Campaign. Dalam hal ini, tautan dalam email mengarahkan korban ke server Adobe yang digunakan oleh Samsung selama kampanye pemasaran Cyber Monday 2018. Dengan mengambil keuntungan dari format tautan Adobe Campaign dan domain Samsung yang sah, para penyerang berusaha menghindari deteksi dari software keamanan berdasarkan reputasi, daftar hitam, dan pola URL.
Selanjutnya, para penyerang mengarahkan korban ke salah satu dari beberapa situs WordPress yang dikompromikan yang mengandung kode redirect berbahaya. Menambahkan lapisan ini adalah cara lain untuk menghindari produk keamanan karena URL di dalam email menunjuk ke situs WordPress yang tampaknya sah daripada halaman phishing yang meragukan. Dibuat menggunakan JavaScript, halaman ini terlihat seperti halaman login Microsoft yang sah yang meminta nama pengguna dan kata sandi korban.
Untuk menghindari peringatan keamanan atau blok, para menggunakan trik yang pintar. Mereka menggunakan server email Oxford untuk mengirim email awal membantu mereka melewati filter reputasi. Tautan dalam email menunjuk ke domain yang sah yang dimiliki oleh Samsung. Dan serangkaian pengalihan menghasilkan halaman phishing yang disembunyikan.
Untuk berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic | Check Point Research
