Serangan phising Microsoft Team baru-baru ini menyeruak di dunia maya dengan menggunakan trik baru yang mampu menipu dan memperdayai pengguna Team.
Serangan phising baru menyalahgunakan permintaan obrolan grup Microsoft Teams untuk memasukkan lampiran berbahaya yang memasang muatan malware DarkGate pada sistem korban.
Modus Operandi
Para pelaku menggunakan apa yang tampak seperti pengguna (atau domain) Teams yang disusupi untuk mengirim lebih dari 1.000 undangan obrolan grup Teams yang berbahaya.
Setelah target menerima permintaan obrolan, pelaku mengelabui mereka agar mengunduh file menggunakan ekstensi ganda bernama ‘Navigating Future Changes October 2023.pdf.msi’.
Setelah terinstal, malware akan menjangkau server command & control di hgfdytrywq[.]com, yang telah dikonfirmasi sebagai bagian dari infrastruktur malware DarkGate.
Serangan phising ini terjadi karena Microsoft mengizinkan pengguna Microsoft Teams eksternal untuk mengirim pesan kepada pengguna penyewa lain secara default.
Kecuali benar-benar diperlukan untuk penggunaan bisnis sehari-hari, menonaktifkan Akses Eksternal di Microsoft Teams disarankan bagi sebagian besar perusahaan.
Dan lebih menggunakan email karena pada umumnya merupakan saluran komunikasi yang lebih aman dan diawasi dengan lebih ketat.
Sering Jadi Target
Microsoft Teams telah menjadi target yang menarik bagi pelaku ancaman karena jumlah pengguna bulanannya yang sangat besar yaitu 280 juta.
Operator DarkGate memanfaatkan hal ini dengan mendorong malware mereka melalui Microsoft Teams dalam serangan targeted attack
Yakni sebuah serangan dimana organisasi atau perusahaan yang diketahui adminnya belum mengamankan penyewanya dengan menonaktifkan pengaturan Akses Eksternal.
Tahun lalu Operasi serupa mendorong malware DarkGate melalui akun Office 365 eksternal yang disusupi dan akun Skype yang mengirimkan pesan berisi lampiran skrip pemuat VBA.
Broker akses awal seperti Storm-0324 juga telah menggunakan Microsoft Teams untuk melakukan phising guna menembus jaringan atau ekosistem perusahaan
Hal ini dilakukan dengan bantuan alat yang tersedia untuk umum bernama TeamsPhisher yang mengeksploitasi masalah keamanan di Microsoft Teams.
TeamsPhisher memungkinkan pelaku mengirim muatan berbahaya meskipun ada perlindungan sisi klien yang seharusnya memblokir pengiriman file dari akun penyewa eksternal.
APT29, sebuah divisi peretasan dari Badan Intelijen Luar Negeri (SVR) Rusia, mengeksploitasi masalah yang sama untuk menargetkan lusinan perusahaan di seluruh dunia, termasuk lembaga pemerintah.
Lonjakan Serangan Malware DarkGate
Setelah upaya kolaboratif internasional yang mengganggu botnet Qakbot pada bulan Agustus, penjahat dunia maya banyak beralih ke pemuat malware DarkGate sebagai cara pilihan mereka untuk mengakses jaringan perusahaan.
Sebelum botnet Qakbot dihapus, seseorang yang mengaku sebagai pengembang DarkGate mencoba menjual langganan tahunan senilai $100.000 di forum peretasan.
Pengembang DarkGate mengatakan itu mencakup banyak kemampuan, seperti VNC tersembunyi, alat untuk melewati Windows Defender, alat pencurian riwayat browser, proxy terbalik terintegrasi, pengelola file, dan pencuri token Discord.
Setelah pengumuman pengembang tersebut, terjadi peningkatan signifikan dalam laporan infeksi DarkGate, dengan penjahat dunia maya menggunakan berbagai metode pengiriman, termasuk phising dan malvertising.
Demikian pembahasan mengenai serangan phising Microsoft Team semoga bermanfaat dan bagi para pengguna Teams bisa lebih waspada dan berhati-hati.
lainnya:
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
Sumber berita: