Penyerang kini menggunakan lampiran RPMSG terenkripsi yang dikirim melalui akun Microsoft 365 yang disusupi untuk mencuri kredensial Microsoft dalam serangan phishing bertarget yang dirancang untuk menghindari deteksi oleh gateway keamanan email.
File RPMSG (juga dikenal sebagai file pesan izin terbatas) adalah lampiran pesan email terenkripsi yang dibuat menggunakan Layanan Manajemen Hak (RMS) Microsoft dan menawarkan lapisan perlindungan ekstra untuk info sensitif dengan membatasi akses ke penerima yang berwenang.
Penerima yang ingin membacanya harus mengautentikasi menggunakan akun Microsoft mereka atau mendapatkan kode akses satu kali untuk mendekripsi konten.
Seperti Trustwave baru-baru ini telah menemukanpersyaratan autentikasi RPMSG sekarang dieksploitasi untuk mengelabui target agar menyerahkan kredensial Microsoft mereka menggunakan formulir login palsu.
“Ini dimulai dengan email yang berasal dari akun Microsoft 365 yang disusupi, dalam hal ini dari Talus Pay, perusahaan pemrosesan pembayaran,” kata Trustwave.
“Penerima adalah pengguna di departemen penagihan perusahaan penerima. Pesan tersebut menunjukkan pesan terenkripsi Microsoft.”
Email pelaku ancaman meminta target untuk mengklik tombol “Baca pesan” untuk mendekripsi dan membuka pesan yang dilindungi, mengarahkan mereka ke halaman web Office 365 dengan permintaan untuk masuk ke akun Microsoft mereka.
Setelah autentikasi menggunakan layanan Microsoft yang sah ini, penerima akhirnya dapat melihat email phishing penyerang yang akan mengirim mereka ke dokumen SharePoint palsu yang dihosting di layanan InDesign Adobe setelah mengeklik tombol “Klik di sini untuk Melanjutkan”.
Dari sana, mengklik “Klik Di Sini untuk Melihat Dokumen” mengarah ke tujuan akhir yang menampilkan halaman kosong dan pesan “Memuat… Tunggu” di bilah judul yang berfungsi sebagai umpan untuk memungkinkan skrip jahat mengumpulkan berbagai sistem informasi.
Data yang dikumpulkan meliputi ID pengunjung, token penghubung dan hash, informasi penyaji kartu video, bahasa sistem, memori perangkat, konkurensi perangkat keras, plugin browser yang terpasang, detail jendela browser, dan arsitektur OS.
Setelah skrip selesai mengumpulkan data target, halaman tersebut akan menampilkan formulir login Microsoft 365 kloning yang akan mengirimkan nama pengguna dan kata sandi yang dimasukkan ke server yang dikontrol penyerang.
Mendeteksi dan melawan serangan phishing semacam itu terbukti cukup menantang karena volumenya yang rendah dan sifatnya yang ditargetkan, seperti yang diamati oleh para peneliti Trustwave.
Selain itu, penggunaan layanan cloud tepercaya oleh penyerang seperti Microsoft dan Adobe untuk mengirim email phishing dan konten host menambah lapisan kerumitan dan kepercayaan tambahan.
Lampiran RPMSG terenkripsi juga menyembunyikan pesan phishing dari gateway pemindaian email, mengingat bahwa satu-satunya hyperlink di email phishing awal mengarahkan calon korban ke layanan Microsoft yang sah.
“Didik pengguna Anda tentang sifat ancaman, dan jangan mencoba mendekripsi atau membuka kunci pesan tak terduga dari sumber luar,” Trustwave menyarankan perusahaan yang ingin mengurangi risiko yang ditimbulkan oleh jenis serangan phishing ini.
“Untuk membantu mencegah akun Microsoft 365 disusupi, aktifkan Multi-Factor Authentication (MFA).”
