Teknik phishing baru yang licik memungkinkan musuh untuk melewati otentikasi multi-faktor (MFA) dengan secara diam-diam meminta korban masuk ke akun mereka secara langsung di server yang dikendalikan penyerang menggunakan sistem berbagi layar VNC.
Untuk mendapatkan akses ke akun target yang dilindungi MFA, kit phishing telah diperbarui untuk menggunakan proxy terbalik atau metode lain untuk mengumpulkan kode MFA dari korban tanpa disadari.
Namun, perusahaan menangkap metode ini dan mulai memperkenalkan langkah-langkah keamanan yang memblokir login atau menonaktifkan akun ketika proxy terbalik terdeteksi.
Saat melakukan uji penetrasi untuk pelanggan, peneliti keamanan mr.d0x berusaha membuat serangan phishing pada karyawan klien untuk mendapatkan kredensial akun perusahaan.
Karena semua akun dikonfigurasi dengan MFA, mr.d0x menyiapkan serangan phishing menggunakan kerangka kerja serangan Evilginx2 yang bertindak sebagai proxy terbalik untuk mencuri kredensial dan kode MFA.
Saat melakukan pengujian, peneliti menemukan bahwa Google mencegah login saat mendeteksi proxy terbalik atau serangan man-in-the-middle (MiTM).
Sumber: mr.d0x
Untuk mengatasi kendala ini, mr.d0x datang dengan teknik phishing baru yang licik yang menggunakan perangkat lunak akses jarak jauh noVNC dan browser yang berjalan dalam mode kios untuk menampilkan permintaan login email yang berjalan di server penyerang tetapi ditampilkan di browser korban.
VNC adalah perangkat lunak akses jarak jauh yang memungkinkan pengguna jarak jauh untuk terhubung dan mengontrol desktop pengguna yang masuk. Kebanyakan orang terhubung ke server VNC melalui klien VNC khusus yang membuka desktop jarak jauh dengan cara yang mirip dengan Windows Remote Desktop.
Namun, sebuah program yang disebut noVNC memungkinkan pengguna untuk terhubung ke server VNC langsung dari dalam browser hanya dengan mengklik tautan, saat itulah teknik phishing baru peneliti ikut bermain.
Dengan menggunakan konfigurasi ini, pelaku ancaman dapat mengirimkan email spear-phishing yang ditargetkan yang berisi tautan yang secara otomatis meluncurkan browser target dan masuk ke server VNC jarak jauh penyerang.
Tautan ini sangat dapat disesuaikan dan memungkinkan penyerang membuat tautan yang tidak terlihat seperti URL masuk VNC yang mencurigakan, seperti di bawah ini:
Contoh[.]com/index.html?id=VNCPASSWORD
Contoh[.]com/auth/login?name=password
Karena server VNC penyerang dikonfigurasi untuk menjalankan browser dalam mode kios, yang menjalankan browser dalam mode layar penuh, ketika korban mengklik tautan, mereka hanya akan melihat layar login untuk layanan email yang ditargetkan dan login seperti biasa.
Sumber: mr.d0x
Namun, karena prompt login sebenarnya sedang ditampilkan oleh server VNC penyerang, semua upaya login akan dilakukan langsung di server jauh. mr.d0x memberi tahu bahwa begitu pengguna masuk ke akun, penyerang dapat menggunakan berbagai alat untuk mencuri kredensial dan token keamanan.
Lebih berbahaya lagi, teknik ini akan melewati MFA karena pengguna akan memasukkan kode akses satu kali langsung di server penyerang, yang mengizinkan perangkat untuk mencoba login di masa mendatang.
Alternatif lain adalah saya menyuntikkan JS ke browser sebelum mengirim tautan phishing. Ketika pengguna mulai menggunakan browser, itu menjalankan JS saya. Ada lebih banyak opsi karena pada akhirnya pengguna mengautentikasi ke server Anda.”
Jika serangan digunakan secara terbatas untuk menargetkan hanya beberapa orang, cukup masuk ke akun email mereka melalui sesi VNC penyerang akan mengizinkan perangkat untuk terhubung ke akun di masa mendatang.
Karena VNC memungkinkan banyak orang untuk memantau sesi yang sama, penyerang dapat memutuskan sesi korban setelah akun masuk dan menyambung ke sesi yang sama nanti untuk mengakses akun dan semua emailnya.
Adapun cara melindungi diri Anda dari jenis serangan ini, semua saran phishing tetap sama: jangan klik URL dari pengirim yang tidak dikenal, periksa tautan yang disematkan untuk domain yang tidak biasa, dan perlakukan semua email sebagai mencurigakan, terutama saat meminta Anda untuk masuk ke akun Anda.
Sumber : Bleeping Computer
