Waspada! Serangan Phishing Baru Targetkan Pengguna Microsoft OneDrive

Rexploit


Rexploit - Peneliti keamanan siber memperingatkan adanya serangan phishing terbaru yang menyasar pengguna Microsoft OneDrive. Serangan ini bertujuan mengeksekusi skrip PowerShell berbahaya yang dapat membahayakan sistem pengguna.

Rafael Pena, peneliti keamanan dari Trellix, dalam analisisnya pada Senin (29/7/2024), menyebut serangan ini menggunakan taktik rekayasa sosial untuk menipu pengguna agar menjalankan skrip tersebut. Serangan ini diberi nama "OneDrive Pastejacking".

Serangan dimulai dengan email yang berisi file HTML. Saat dibuka, file tersebut menampilkan gambar yang menyerupai halaman OneDrive beserta pesan kesalahan yang menyatakan: "Gagal terhubung ke layanan cloud 'OneDrive'. Untuk memperbaiki kesalahan ini, Anda perlu memperbarui cache DNS secara manual."

Pesan tersebut menyediakan dua opsi, yaitu "How to fix" dan "Details". Opsi "Details" mengarahkan penerima email ke halaman resmi Microsoft Learn tentang Troubleshooting DNS. Namun, opsi "How to fix" menginstruksikan pengguna untuk mengikuti serangkaian langkah, termasuk menekan "Windows Key + X" untuk membuka menu Quick Link, meluncurkan terminal PowerShell, dan menempelkan perintah yang dikodekan Base64 untuk memperbaiki masalah tersebut.

"Perintah tersebut pertama-tama menjalankan ipconfig /flushdns, kemudian membuat folder di drive C: bernama 'downloads'. Selanjutnya, mengunduh file arsip ke lokasi tersebut, mengubah namanya, mengekstrak isinya ('script.a3x' dan 'AutoIt3.exe'), dan menjalankan script.a3x menggunakan AutoIt3.exe," jelas Pena.

Serangan ini diketahui telah menargetkan pengguna di berbagai negara, termasuk AS, Korea Selatan, Jerman, India, Irlandia, Italia, Norwegia, dan Inggris.

Penemuan ini juga didukung oleh penelitian dari ReliaQuest, Proofpoint, dan McAfee Labs, yang menunjukkan bahwa serangan phishing dengan teknik ini semakin marak. Selain itu, ditemukan pula serangan rekayasa sosial lain yang menggunakan file shortcut Windows palsu yang mengarahkan pada eksekusi payload berbahaya yang dihosting di Discord's Content Delivery Network (CDN).

Serangan phishing lainnya yang semakin marak adalah penggunaan formulir Microsoft Office dari akun email yang telah dikompromikan untuk menipu target agar memberikan kredensial login Microsoft 365 mereka. Selain itu, umpan bertema faktur juga digunakan untuk menipu korban berbagi kredensial mereka di halaman phishing yang dihosting di Cloudflare R2.

Menurut laporan terbaru dari Cofense, pelaku kejahatan siber menyalahgunakan cara SEG memindai lampiran arsip ZIP untuk mengirimkan pencuri informasi Formbook menggunakan DBatLoader. Mereka menyamarkan payload HTML sebagai file MPEG untuk menghindari deteksi.

Penjahat siber terus mencari cara untuk menyelundupkan malware melewati alat keamanan email, sehingga meningkatkan kemungkinan keberhasilan serangan mereka. Tetap waspada dan selalu periksa sumber email yang mencurigakan sebelum mengikuti instruksi yang diberikan.