Rockstar 2FA: Serangan Phishing Canggih Targetkan Microsoft 365

Peneliti keamanan siber baru-baru ini mengungkap kampanye email berbahaya yang menggunakan toolkit phishing-as-a-service (PhaaS) bernama Rockstar 2FA. Target utamanya adalah mencuri kredensial akun Microsoft 365 dengan teknik canggih yang dikenal sebagai Adversary-in-the-Middle (AiTM). Teknik ini memungkinkan penyerang mencuri data login sekaligus session cookies, sehingga bahkan pengguna yang sudah mengaktifkan autentikasi dua faktor (2FA) tetap rentan.

Apa Itu Rockstar 2FA?
Toolkit ini adalah versi terbaru dari DadSec (atau dikenal juga sebagai Phoenix) phishing kit. Microsoft sendiri melacak aktivitas para pengembang dan distributor DadSec dengan nama Storm-1575. Rockstar 2FA tersedia dalam model berlangganan, dibanderol seharga $200 untuk dua minggu atau $350 untuk satu bulan. Harganya memang cukup murah, dan karena itu menarik bagi pelaku dengan kemampuan teknis minim untuk meluncurkan serangan phishing secara massal.

Fitur Andalan Rockstar 2FA
Beberapa fitur unggulan Rockstar 2FA mencakup:

• Bypass 2FA dan pencurian cookie 2FA.
• Proteksi antibot untuk menghindari deteksi otomatis.
• Tema halaman login yang menyerupai layanan populer.
• Tautan phishing yang diklaim "Fully Undetectable" (FUD).
• Integrasi dengan bot Telegram untuk memantau hasil serangan.

Toolkit ini bahkan dilengkapi dengan panel admin yang mudah digunakan, memungkinkan penggunanya melacak status kampanye phishing, membuat URL, melampirkan file, hingga menyesuaikan tema.

Kampanye ini mengandalkan email sebagai media serangan awal, yang dikirim melalui akun-akun yang telah diretas atau alat spamming. Email yang dikirim memanfaatkan berbagai cara untuk menarik perhatian korban, seperti pemberitahuan berbagi file atau permintaan tanda tangan elektronik. Untuk memaksimalkan efektivitasnya, pelaku menggunakan metode seperti:

• Tautan URL yang disingkat atau diarahkan ulang.
• Lampiran dokumen palsu.
• Kode QR yang berisi tautan berbahaya.

Hal menarik lainnya adalah para pelaku menggunakan layanan tepercaya seperti Google Docs Viewer, Atlassian Confluence, atau Microsoft OneDrive untuk menyebarkan tautan phishing. Cara ini membuat email mereka terlihat lebih sah di mata korban.

Bagaimana Phishing Ini Bekerja?
Halaman phishing yang dibuat oleh Rockstar 2FA dirancang menyerupai halaman login asli. Saat korban memasukkan data mereka di halaman palsu, informasi tersebut langsung dikirim ke server AiTM milik penyerang. Kredensial ini kemudian digunakan untuk mendapatkan akses penuh ke akun korban, termasuk session cookies yang membuat penyerang dapat melewati langkah 2FA.

Ancaman Lain yang Serupa
Selain Rockstar 2FA, ada juga kampanye phishing lain seperti Beluga, yang memanfaatkan file .HTM untuk menipu korban agar memasukkan kredensial Microsoft OneDrive mereka. Data yang terkumpul ini kemudian dikirim langsung ke bot Telegram.

Bukan hanya itu, phishing di media sosial juga makin marak, seperti iklan betting game yang mengarahkan pengguna ke aplikasi adware atau aplikasi keuangan palsu. Aplikasi ini dirancang untuk mencuri data pribadi dan keuangan, dengan iming-iming keuntungan cepat yang ternyata hanya tipu muslihat.

Peringatan untuk Semua Pengguna
Serangan seperti ini membuktikan bahwa pelaku kejahatan terus mengembangkan teknik mereka untuk mengelabui pengguna. Oleh karena itu, selalu waspada dengan email yang mencurigakan, terutama yang meminta Anda memasukkan kredensial login. Pastikan Anda memverifikasi tautan dan sumber email sebelum mengklik apa pun. Selain itu, aktifkan perlindungan tambahan pada akun Anda, seperti menggunakan aplikasi autentikasi, bukan hanya SMS, untuk 2FA.

Di dunia digital yang semakin kompleks ini, menjaga keamanan akun adalah tanggung jawab kita semua. Jangan sampai kita menjadi korban berikutnya!