Hacker Kini Pakai Login Resmi Microsoft untuk Kirim Malware ke Instansi Pemerintah
JAKARTA - Microsoft memperingatkan adanya kampanye phishing canggih yang memanfaatkan fitur OAuth untuk mengirimkan malware ke organisasi pemerintah dan sektor publik. Berbeda dari serangan klasik yang mencuri kata sandi, taktik terbaru ini menggunakan halaman login resmi sebagai pintu masuk untuk mendistribusikan file berbahaya.
Menurut laporan resmi Microsoft, kelompok peretas menyalahgunakan fungsi redirect yang sah dalam sistem OAuth. OAuth sendiri adalah protokol otorisasi yang memungkinkan pengguna masuk ke suatu layanan menggunakan akun terpercaya tanpa harus membagikan kredensial langsung ke aplikasi pihak ketiga. Secara desain, sistem ini aman. Namun dalam kampanye ini, celah bukan berasal dari bug, melainkan dari cara fitur tersebut dimanipulasi.
Pelaku mengirim email yang dirancang sangat meyakinkan. Beberapa menyamar sebagai rekaman rapat Microsoft Teams, lainnya mengklaim sebagai pemberitahuan reset kata sandi Microsoft 365 yang mendesak. Di dalam email terdapat tautan dengan parameter OAuth yang telah dimodifikasi.
Baca juga:
- Waspada, Google dan iVerify Temukan Alat Peretas untuk Curi Data Sensitif Pengguna iPhone
- Perusahaan Global Kucurkan Rata-rata Rp33,8 Triliun untuk Bangun Pusat Operasi Keamanan
- Lampaui Target ITU, Huawei Berhasil Perluas Akses Digital ke 170 Juta Warga Terpencil
- Xiaomi 17 Series Resmi Diluncurkan, Bawa Ponsel Edisi Khusus di Indonesia
Ketika korban mengklik tautan tersebut, mereka diarahkan ke halaman login resmi Microsoft. Tidak ada tampilan mencurigakan. Namun proses autentikasi sengaja dipicu menghasilkan error. Error inilah yang mengaktifkan fitur redirect, sehingga pengguna dialihkan secara mulus ke situs yang dikendalikan peretas.
Di titik ini, serangan berubah bentuk. Korban tidak diminta memasukkan ulang kata sandi. Sebaliknya, mereka diarahkan ke platform phishing-as-a-service yang menyediakan file unduhan berbahaya.
Dalam salah satu kasus yang diungkap, korban mengunduh arsip ZIP berisi file shortcut dan komponen HTML smuggling. Saat dibuka, file tersebut menjalankan perintah PowerShell tersembunyi yang memanggil executable sah, lalu memuat DLL berbahaya melalui teknik side-loading. Hasil akhirnya adalah koneksi keluar ke server perintah dan kendali milik penyerang.
Microsoft menegaskan bahwa halaman login OAuth tidak diretas dan tidak terjadi pencurian kredensial pada layar resmi. Sistem bekerja sesuai desainnya. Namun fitur redirect yang memang dimaksudkan untuk mengarahkan pengguna kembali ke aplikasi setelah login justru dijadikan jalur distribusi malware.
Serangan ini mencerminkan evolusi teknik phishing. Jika dulu fokusnya adalah mengelabui pengguna agar menyerahkan kata sandi, kini pendekatannya lebih subtil: memanfaatkan kepercayaan terhadap halaman login resmi untuk menciptakan rasa aman sebelum menjebak korban dengan unduhan berbahaya.
Perusahaan teknologi tersebut mendesak organisasi untuk memperkuat sistem penyaringan email, meninjau konfigurasi redirect aplikasi, dan meningkatkan edukasi staf mengenai taktik phishing tingkat lanjut. Skala kampanye ini belum diketahui secara pasti, namun pola serangannya menunjukkan tingkat perencanaan yang matang.
Di era di mana login tunggal dan autentikasi terpusat menjadi tulang punggung produktivitas digital, setiap fitur kenyamanan bisa berubah menjadi alat manipulasi jika tidak diawasi ketat. Dunia siber bergerak cepat, dan para aktor ancaman tampaknya semakin kreatif dalam memanfaatkan apa yang sudah sah menjadi sesuatu yang berbahaya