Cyberthreat.id – Penjahat siber memanfaatkan akun Sendgrid yang diretas untuk menyebar jebakan phishing yang  menargetkan mencuri kredensial akun (username dan password) milik pengguna Outlook Web Access dan layanan Office 365 dari Microsoft.

SendGrid merupakan platform pengiriman email berbasis cloud terpecaya, yang banyak digunakan oleh perusahaan untuk komunikasi pemasaran dengan pelanggan.

Dikutip dari Bleeping Computer, berdasarkan penemuan peneliti keamanan WMC Global, aktor yang berada dibalik aktivitas ini diberi nama "Compact", beroperasi sejak awal 2020 dan kemungkinan telah mengumpulkan lebih dari 400.000 kredensial login dalam sejumlah aksinya.

Menurut peneliti WMC Global, pelaku menggunakan undangan Zoom dan daftar ekstensif alamat email untuk menjebak korbannya. Mereka akan mengirimkan pesan melalui akun SendGrid yang diretas.

Dalam penelitian ini, para peneliti memanfaatkan beberapa kesalahan pelaku yang memungkinkan mereka  menganalisis bagaimana kredensial berpindah dari situs phishing ke tangan operator.

“Kami memperkirakan bahwa setiap gelombang phishing mengumpulkan 3.700 kredensial unik, yang akan membuat total dari beberapa kampanye Compact hingga 400.000,” ungkap Peneliti WMC Global.

Peneliti mengatakan, operasi sebelumnya menggunakan akun SendGrid yang disusupi untuk mengirim email phishing dan kemudian dipindahkan ke MailGun, layanan email yang berpusat pada pengembang dengan API yang memungkinkan pengiriman, penerimaan, dan pelacakan pesan. Perpindahan ke layanan yang berbeda ini ditentukan oleh kolaborasi antara pelaku dengan  SendGrid untuk memulihkan akun yang disusupi ke pemilik yang sah.

Peneliti juga menemukan bahwa situs web phishing dari kampanye Compact memiliki jejak yang berbeda dalam kode yang memungkinkan pemantauan dan pendeteksian situs baru segera setelah ditayangkan. Mereka menemukan tautan mengarahkan ke situs palsu yang meniru Outlook Web App pada Desember 2020 dan pada Januari 2021 yang berpura-pura menjadi laman masuk Office 365.

Dengan melihat kode sumber situs web, para peneliti dapat menarik lokasi eksfiltrasi dan log kredensial dalam file teks. Para peretas di balik kampanye Compact menghosting kode eksfiltrasi di banyak situs web sah yang telah disusupi.

“Saat menganalisis log, kami menemukan bahwa karyawan di perusahaan besar dan terkenal telah masuk ke dalam kampanye phishing Compact.”

Meskipun operator Compact tampaknya memiliki pengetahuan teknis, mereka melakukan kesalahan dengan meninggalkan skrip eksfiltrasi yang salah dikonfigurasi dan memperlihatkan kerangka web yang memungkinkan para peneliti mengunduh banyak salinan kode eksfiltrasi.

Kesalahan operasi ini membuat para peneliti dapat memahami bagaimana para pelaku menangani data POST dan mencatat bahwa kodenya lebih kompleks daripada yang diharapkan untuk operator phishing. Investigasi juga mengungkap dua alamat email yang terhubung ke operator. Para peneliti yakin bahwa akun ini telah didaftarkan untuk menerima log phishing.

WMC Global mengatakan bahwa kampanye email terbaru cukup menarik perhatian. Namun, taktik, teknik, dan prosedur yang diamati mengarah ke kampanye lain yang menggunakan tema phishing yang berbeda seperti Excel, OWA, Outlook Web Access Exchange, 1 & 1 Ionos, Rackspace. Bahkan, sejak September 2020, pelaku mulai menggunakan tema Office 365 yang terus aktif dan paling banyak digunakan.[]

Editor: Yuswardi A. Suud