Pengguna internet kembali dikhawatirkan dengan kemunculan Phishing as a Service Rockstar 2FA yang bertujuan mencuri kredensial akun Microsoft 365
Operasi ini menggunkan serangan AitM atau Adversary in the Middle, yang memungkinkan penyerang untuk mencegat kredensial pengguna dan cookie sesi.
Yang berarti bahwa bahkan pengguna dengan autentikasi multi-faktor (MFA) yang diaktifkan masih dapat rentan oleh serangan semacam ini.
Phishing as a Service Rockstar 2FA
Rockstar 2FA dinilai sebagai versi terbaru dari perangkat phising DadSec alias Phoenix. Microsoft melacak pengembang dan distributor platform Dadsec PhaaS dengan nama Storm-1575.
Seperti pendahulunya, perangkat phising diiklankan melalui layanan seperti ICQ, Telegram, dan Mail.ru dengan model berlangganan seharga $200 selama dua minggu (atau $350 selama sebulan).
Layanan ini yang memungkinkan penjahat siber dengan sedikit atau tanpa keahlian teknis untuk melakukan operasi dalam skala besar dan menguntungkan.
Beberapa fitur Rockstar 2FA yang dipromosikan meliputi:
- Bypass autentikasi dua faktor (2FA).
- Pengumpulan kuki 2FA.
- Perlindungan antibot.
- Tema halaman login yang meniru layanan populer.
- Tautan yang sepenuhnya tidak terdeteksi (FUD).
- Integrasi bot Telegram.
Ia juga mengklaim memiliki “panel admin yang modern dan mudah digunakan” yang memungkinkan pelanggan melacak status operasi phising mereka, membuat URL dan lampiran, dan bahkan mempersonalisasi tema yang diterapkan pada tautan yang dibuat.
Operasi email yang ditemukan memanfaatkan beragam vektor akses awal seperti URL, kode QR, dan lampiran dokumen, yang disematkan dalam pesan yang dikirim dari akun yang disusupi.
Atau alat spam. Email tersebut menggunakan berbagai templat umpan mulai dari pemberitahuan berbagi file hingga permintaan tanda tangan elektronik.
Selain menggunakan pengalihan tautan yang sah (misalnya, URL yang dipersingkat, pengalihan terbuka, layanan perlindungan URL, atau layanan penulisan ulang URL) sebagai mekanisme untuk melewati deteksi antispam, kit tersebut menggabungkan pemeriksaan antibot menggunakan Cloudflare Turnstile dalam upaya untuk mencegah analisis otomatis halaman phising AitM.
Platform PhaaS
Peneliti mengatakan bahwa mereka mengamati platform tersebut menggunakan layanan yang sah seperti:
- Atlassian Confluence.
- Google Docs Viewer.
- LiveAgent.
- Microsoft OneDrive.
- OneNote.
- Dynamics 365 Customer Voice
Kesemuanya itu untuk menghosting tautan phising, yang menyoroti bahwa pelaku ancaman memanfaatkan kepercayaan yang datang dengan platform tersebut.
Desain halaman phising sangat mirip dengan halaman masuk merek yang ditiru meskipun banyak pengaburan yang diterapkan pada kode HTML.
Semua data yang diberikan oleh pengguna pada halaman phising segera dikirim ke server AiTM. Kredensial yang diekstraksi kemudian digunakan untuk mengambil cookie sesi dari akun target.
Pengungkapan ini muncul saat Malwarebytes merinci operasi phising yang dijuluki Beluga yang menggunakan lampiran .HTM untuk menipu penerima email agar memasukkan kredensial Microsoft OneDrive mereka pada formulir login palsu, yang kemudian diekstraksi ke bot Telegram.
Tautan phising dan iklan permainan taruhan yang menipu di media sosial juga ditemukan mendorong aplikasi adware seperti MobiDash serta aplikasi keuangan palsu yang mencuri data pribadi dan uang dengan kedok menjanjikan keuntungan cepat.
Permainan taruhan yang diiklankan disajikan sebagai peluang yang sah untuk memenangkan uang, tetapi dirancang dengan hati-hati untuk menipu pengguna agar menyetorkan dana, yang mungkin tidak akan pernah mereka lihat lagi.
Melalui aplikasi dan situs web palsu ini, penipu akan mencuri informasi pribadi dan keuangan dari pengguna selama proses pendaftaran. Korban dapat menderita kerugian finansial yang signifikan, dengan beberapa melaporkan kerugian lebih dari US$10.000.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: