Phishing Kode Perangkat Serang 340+ Organisasi Microsoft 365 di 5 Negara Lewat Penyalahgunaan OAuth
Serangan phishing kode perangkat (device code phishing) kini tengah mengancam lebih dari 340 organisasi Microsoft 365 di lima negara, yaitu Amerika Serikat, Kanada, Australia, Selandia Baru, dan Jerman. Kampanye berbahaya ini pertama kali terdeteksi pada 19 Februari 2026 dan sejak itu terus meningkat dengan cepat.
Modus Operandi Phishing Kode Perangkat via OAuth
Menurut laporan Huntress, pelaku memanfaatkan penyalahgunaan alur otorisasi perangkat OAuth (device authorization flow) untuk memperoleh token akses dan token refresh secara persisten. Token ini memungkinkan mereka mengendalikan akun korban bahkan setelah password akun direset, sebuah metode yang sangat berbahaya dan sulit dideteksi.
Secara singkat, serangan ini bekerja dengan langkah-langkah berikut:
- Pelaku meminta kode perangkat (device code) dari penyedia identitas Microsoft Entra ID menggunakan API resmi.
- Layanan memberikan kode perangkat tersebut.
- Pelaku mengirimkan email phishing yang meyakinkan korban untuk mengunjungi halaman masuk resmi Microsoft ("microsoft[.]com/devicelogin") dan memasukkan kode perangkat yang sudah disediakan.
- Setelah korban memasukkan kode, kredensial, dan kode autentikasi dua faktor (2FA), sistem membuat token akses dan refresh untuk akun korban.
- Pelaku kemudian mengambil token tersebut dengan menggunakan kode perangkat yang sudah diketahui.
Huntress menjelaskan, "Sekali korban terjebak dalam phishing, token valid yang dibuat dapat diambil siapa saja yang mengetahui kode perangkat yang digunakan, yang dalam hal ini adalah pelaku."
Target dan Teknik Serangan yang Digunakan
Kampanye ini menargetkan berbagai sektor penting seperti konstruksi, organisasi nirlaba, real estate, manufaktur, layanan keuangan, kesehatan, hukum, dan pemerintah. Keunikan kampanye ini adalah penggunaan beragam teknik phishing yang kompleks, termasuk:
- Umpan penipuan tender konstruksi
- Generasi kode halaman pendaratan otomatis
- Peniruan layanan DocuSign
- Notifikasi pesan suara palsu
- Penyalahgunaan halaman Microsoft Forms
Semua teknik tersebut menggunakan infrastruktur IP dari platform Railway.com dan Cloudflare Workers untuk mengelabui sistem filter dan menyesatkan korban.
Dimulai dari email phishing yang mengemas URL berbahaya dengan layanan redirect keamanan sah seperti Cisco, Trend Micro, dan Mimecast, korban diarahkan melalui rantai multi-langkah sebelum mencapai halaman pendaratan phishing yang menampilkan kode perangkat secara otomatis. Hal ini memudahkan korban langsung mendapatkan kode dan masuk ke halaman otentikasi Microsoft yang asli.
Infrastruktur dan Ancaman Lanjutan
Mayoritas situs phishing ini dihosting di Cloudflare workers[.]dev, memanfaatkan reputasi layanan ini agar lolos dari filter konten web di lingkungan perusahaan. Huntress mengidentifikasi sejumlah IP Railway.com yang menjadi pusat aktivitas, yaitu:
- 162.220.234.41
- 162.220.234.66
- 162.220.232.57
- 162.220.232.99
- 162.220.232.235
Untuk mengatasi ancaman ini, pengguna disarankan untuk:
- Memeriksa log masuk untuk aktivitas mencurigakan dari IP Railway.
- Mencabut semua token refresh bagi pengguna terdampak.
- Memblokir upaya otentikasi dari infrastruktur Railway jika memungkinkan.
Selain itu, Huntress mengaitkan serangan ini dengan platform phishing-as-a-service (PhaaS) baru bernama EvilTokens, yang diluncurkan melalui Telegram dan menyediakan alat pengiriman phishing dengan kemampuan melewati filter spam serta tautan redirect yang sulit dilacak.
Pengamatan dan Teknik Anti-Analisis
Unit 42 dari Palo Alto Networks juga melaporkan kampanye serupa yang menggunakan teknik anti-bot dan anti-analisis, termasuk memblokir klik kanan, pemilihan teks, serta akses ke alat pengembang browser. Hal ini bertujuan agar aktivitas jahat tidak mudah terdeteksi dan tetap tersembunyi saat mencuri cookie browser secara diam-diam.
Serangan semacam ini pertama kali terdeteksi pada Februari 2025 oleh Microsoft dan Volexity, dan terus dimanfaatkan oleh kelompok siber yang terkait dengan Rusia seperti Storm-2372 dan APT29.
Analisis Redaksi
Menurut pandangan redaksi, serangan phishing kode perangkat ini menandai evolusi berbahaya dalam dunia keamanan siber, karena memanfaatkan mekanisme otentikasi resmi yang selama ini dianggap aman oleh pengguna. Penggunaan token OAuth yang tetap valid setelah reset password adalah game-changer yang memungkinkan pelaku mempertahankan akses tanpa terdeteksi.
Kampanye ini juga menunjukkan bagaimana pelaku menggabungkan berbagai teknik sosial engineering dan teknologi canggih untuk mengelabui korban, dari email phishing yang sangat meyakinkan hingga rantai redirect kompleks yang memanfaatkan platform terpercaya seperti Cloudflare dan Railway.
Ke depannya, organisasi perlu menerapkan pemantauan ketat pada aktivitas token OAuth dan meningkatkan edukasi pengguna agar waspada terhadap permintaan kode perangkat melalui email. Selain itu, kolaborasi antara penyedia layanan cloud dan perusahaan keamanan harus diperkuat untuk menutup celah penyalahgunaan infrastruktur mereka seperti yang terjadi di kasus ini.
Untuk informasi lebih lanjut dan pembaruan terkini mengenai keamanan identitas Microsoft 365, ikuti terus berita dan laporan resmi dari penyedia keamanan siber terkemuka.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
