Microsoft Waspadai Penyalahgunaan Redirect OAuth untuk Sebar Malware pada Target Pemerintah

Microsoft mengeluarkan peringatan penting pada Senin, terkait kampanye phishing yang memanfaatkan mekanisme redirect URL OAuth untuk mengelabui sistem pertahanan phishing konvensional yang ada di email dan browser. Serangan ini secara khusus menargetkan organisasi pemerintah dan sektor publik dengan tujuan akhir mengarahkan korban ke infrastruktur yang dikendalikan penyerang tanpa mencuri token autentikasi mereka.

Menurut Tim Peneliti Keamanan Microsoft Defender, serangan ini bukanlah eksploitasi kelemahan perangkat lunak atau pencurian kredensial, melainkan ancaman berbasis identitas yang memanfaatkan fitur standar OAuth yang memang dirancang untuk mengarahkan pengguna ke halaman tertentu pada kondisi tertentu, biasanya ketika terjadi kesalahan atau dalam alur yang sudah ditentukan.

"OAuth mencakup fitur sah yang memungkinkan penyedia identitas mengarahkan pengguna ke halaman tertentu saat kondisi tertentu, biasanya di skenario kesalahan atau alur yang sudah didefinisikan," kata tim Microsoft.

Penyerang menyalahgunakan fitur ini dengan membuat URL khusus menggunakan penyedia identitas populer seperti Entra ID atau Google Workspace. URL ini berisi parameter yang dimanipulasi atau aplikasi berbahaya terkait yang mengarahkan pengguna ke halaman yang dikendalikan penyerang. Hasilnya adalah URL yang tampak aman namun berujung pada tujuan berbahaya.

Bagaimana Modus Operandi Penyerang

Serangan dimulai dengan penciptaan aplikasi berbahaya oleh aktor ancaman di tenant yang mereka kontrol. Aplikasi ini dikonfigurasi dengan redirect URL yang mengarah ke domain palsu yang menjadi host malware. Penyerang kemudian menyebarkan tautan phishing OAuth yang meminta korban melakukan autentikasi ke aplikasi tersebut dengan menggunakan scope yang sengaja tidak valid.

Akibat dari pengalihan ini, pengguna secara tidak sengaja mengunduh dan menginfeksi perangkat mereka sendiri dengan malware. Microsoft menjelaskan bahwa payload berbahaya didistribusikan dalam bentuk arsip ZIP yang ketika dibuka, menjalankan eksekusi PowerShell, DLL side-loading, serta aktivitas pra-ransomware atau intervensi manual.

• File ZIP berisi shortcut Windows (LNK) yang mengeksekusi perintah PowerShell saat dibuka.
• Payload PowerShell melakukan rekognisi host dengan menjalankan perintah untuk mengumpulkan informasi.
• LNK mengekstrak installer MSI yang menjatuhkan dokumen palsu sebagai umpan.
• DLL berbahaya bernama "crashhandler.dll" diload menggunakan binary "steam_monitor.exe" yang sah.
• DLL mendekripsi file "crashlog.dat" dan mengeksekusi payload akhir di memori.
• Payload ini membuka koneksi keluar ke server command-and-control (C2) eksternal.

Taktik Phishing dan Target Serangan

Email phishing yang digunakan mengandung tema seperti permintaan tanda tangan elektronik, rekaman Teams, data sosial keamanan, keuangan, serta isu politik untuk memikat korban agar mengklik tautan berbahaya. Email ini dikirim menggunakan alat pengiriman massal dan solusi kustom yang dikembangkan dengan Python dan Node.js. Tautan berbahaya bisa langsung ada di isi email atau disisipkan dalam dokumen PDF.

Microsoft juga mengungkapkan adanya teknik manipulasi parameter state untuk meningkatkan kredibilitas serangan. Penyerang menyisipkan alamat email target ke parameter ini dengan berbagai teknik encoding sehingga alamat email tersebut otomatis terisi di halaman phishing. Padahal, parameter state seharusnya bersifat acak dan digunakan untuk mengaitkan permintaan dan respons secara aman.

"Para pelaku mengirimkan alamat email target melalui parameter state dengan encoding beragam agar otomatis terisi di halaman phishing," ujar Microsoft. "Seharusnya parameter ini acak untuk mengaitkan request dan response, tapi disalahgunakan untuk membawa alamat email terenkripsi."

Sebagian kampanye menggunakan teknik ini untuk menyebarkan malware, sementara yang lain mengarahkan korban ke halaman yang menggunakan kerangka phishing seperti EvilProxy. Kerangka ini adalah kit adversary-in-the-middle (AitM) yang dapat mencegat kredensial dan cookie sesi korban.

Upaya Penanggulangan dan Rekomendasi Keamanan

Microsoft telah menghapus beberapa aplikasi OAuth berbahaya yang ditemukan selama investigasi. Perusahaan dan organisasi disarankan untuk:

1. Membatasi pemberian izin pengguna pada aplikasi.
2. Melakukan peninjauan berkala terhadap izin aplikasi yang ada.
3. Menghapus aplikasi yang tidak terpakai atau yang memiliki hak akses berlebihan.

Analisis Redaksi

Menurut pandangan redaksi, peringatan Microsoft ini menyoroti bagaimana fitur standar yang sah dalam sistem otentikasi modern seperti OAuth dapat dijadikan celah oleh aktor ancaman siber untuk melakukan serangan canggih. Redirect OAuth yang sebenarnya dimaksudkan untuk kenyamanan pengguna dalam proses login kini menjadi senjata baru yang sulit dideteksi oleh sistem keamanan tradisional, karena tidak melibatkan pencurian token atau eksploitasi kerentanan perangkat lunak langsung.

Serangan ini juga menunjukkan betapa pentingnya pengawasan dan kontrol ketat atas aplikasi yang memiliki akses OAuth dalam lingkungan organisasi, khususnya sektor pemerintah yang menyimpan data sensitif dan strategis. Penggunaan teknik seperti penyisipan email di parameter state menimbulkan risiko kebocoran data pribadi dan meningkatkan tingkat keberhasilan phishing.

Kedepannya, organisasi harus meningkatkan edukasi kepada pengguna tentang bahaya phishing yang semakin canggih serta memperkuat mekanisme keamanan dengan teknologi deteksi anomali OAuth dan pemantauan aktivitas aplikasi. Mengingat aktor ancaman terus beradaptasi dengan mengembangkan teknik baru, kesiapsiagaan dan pembaruan kebijakan keamanan menjadi kunci utama untuk mencegah insiden siber yang lebih luas.

Terus ikuti perkembangan terbaru dari Microsoft dan pakar keamanan siber lainnya untuk melindungi organisasi Anda dari ancaman yang terus berubah ini.