Phishing menggunakan Halaman Web Statis Azure untuk meniru Microsoft

Post a Comment
Serangan phishing menyalahgunakan layanan Aplikasi Web Statis Microsoft Azure untuk mencuri kredensial Microsoft, Office 365, Outlook, dan OneDrive.
Azure Static Web Apps adalah layanan Microsoft yang membantu membangun dan menyebarkan aplikasi web full-stack ke Azure dari repositori kode GitHub atau Azure DevOps.
Ini memungkinkan pengembang untuk menggunakan domain khusus untuk branding aplikasi web, dan menyediakan hosting web untuk konten statis seperti HTML, CSS, JavaScript, dan gambar.
Seperti yang ditemukan oleh peneliti keamanan MalwareHunterTeam, pelaku ancaman juga memperhatikan bahwa merek kustom dan fitur hosting web dapat dengan mudah digunakan untuk menghosting phishing statis landing pages.
Penyerang sekarang secara aktif menggunakan layanan Microsoft terhadap pelanggannya, secara aktif menargetkan pengguna dengan akun Microsoft, Office 365, Outlook, dan OneDrive.
Seperti yang ditunjukkan di bawah ini, beberapa landing pages dan formulir login yang digunakan dalam kampanye phishing ini terlihat hampir persis seperti halaman resmi Microsoft.

Aplikasi Web Statis Azure menambahkan legitimasi

Menggunakan platform Azure Static Web Apps untuk menargetkan pengguna Microsoft adalah taktik yang sangat baik. Setiap landing pages secara otomatis mendapatkan gembok halaman amannya sendiri di bilah alamat karena sertifikat TLS wildcard *.1.azurestaticapps.net.
Ini kemungkinan akan menipu bahkan target yang paling mencurigakan setelah melihat sertifikat yang dikeluarkan oleh Microsoft Azure TLS Penerbit CA 05 ke *.1.azurestaticapps.net, sehingga memvalidasi halaman phishing sebagai formulir login resmi Microsoft di mata calon korban.
Hal ini juga membuat landing pages tersebut menjadi alat yang berguna saat menargetkan pengguna platform lain, termasuk Rackspace, AOL, Yahoo, dan penyedia email lainnya, karena selubung keamanan palsu yang ditambahkan oleh sertifikat TLS Microsoft yang sah.
Saat mencoba mendeteksi ketika serangan phishing menargetkan Anda, saran standarnya adalah memeriksa dengan cermat URL saat diminta untuk mengisi kredensial akun Anda dalam formulir login.
Sayangnya, kampanye phishing yang menyalahgunakan Azure Static Web Apps membuat saran ini hampir tidak berguna karena banyak pengguna akan tertipu oleh subdomain azurestaticapps.net dan sertifikat TLS yang valid.
Ini bukan pertama kalinya layanan Microsoft dieksploitasi dalam serangan phishing untuk menargetkan pelanggan perusahaan itu sendiri.
Kampanye phishing juga menggunakan sertifikat wildcard *.blob.core.windows.net yang disediakan oleh Penyimpanan Azure Blob Microsoft untuk menargetkan pengguna Office 365 dan Outlook.

Baca

Post a Comment

Subscribe Our Newsletter