Aktor mengubah materi kampanye phishing untuk mengorbankan lebih banyak kontraktor pemerintah dengan Microsoft 365

Sekelompok aktor jahat telah meningkatkan kampanye phishing mereka untuk mengelabui perusahaan besar (terutama yang bergerak di sektor energi, layanan profesional, dan konstruksi) agar mengirimkan Microsoft Office 365 kredensial akun. Menurut laporan dari perusahaan solusi deteksi dan respons phishing kopi, operator kampanye membuat perbaikan dalam proses dan desain elemen iming-iming mereka dan sekarang menyamar sebagai lembaga pemerintah AS lainnya, seperti Departemen Transportasi, Perdagangan, dan Tenaga Kerja.

“Aktor ancaman menjalankan serangkaian kampanye yang menipu beberapa departemen pemerintah Amerika Serikat,” kata Cofense. “Email tersebut mengklaim meminta tawaran untuk proyek pemerintah tetapi mengarahkan korban ke halaman phishing kredensial. Kampanye ini telah berlangsung setidaknya sejak pertengahan 2019 dan pertama kali tercakup dalam Flash Alert kami pada Juli 2019. Kampanye lanjutan ini dibuat dengan baik, telah terlihat di lingkungan yang dilindungi oleh gateway email aman (SEG), sangat meyakinkan, dan muncul untuk ditargetkan. Mereka telah berevolusi dari waktu ke waktu dengan meningkatkan konten email, konten PDF, dan tampilan serta perilaku halaman phishing kredensial.”

Cofense menunjukkan serangkaian tangkapan layar yang membandingkan materi sebelumnya dan sekarang yang digunakan oleh para penyerang. Pertama untuk mendapatkan peningkatan ini adalah email dan PDF, yang sekarang sedang disesuaikan agar tampak lebih otentik. “Email awal memiliki badan email yang lebih sederhana tanpa logo dan dengan bahasa yang relatif lugas,” tambah Cofense. “Email yang lebih baru menggunakan logo, blok tanda tangan, pemformatan yang konsisten, dan instruksi yang lebih detail. Email terbaru juga menyertakan tautan untuk mengakses PDF daripada melampirkannya secara langsung.”

Di sisi lain, untuk menghindari kecurigaan korban, para pelaku ancaman juga melakukan perubahan pada halaman phishing kredensial, mulai dari proses login hingga desain dan tema. URL halaman juga sengaja diubah menjadi lebih panjang (misalnya, transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), sehingga target hanya akan melihat bagian .gov di browser yang lebih kecil jendela. Selain itu, kampanye sekarang menampilkan persyaratan captcha dan instruksi lain untuk membuat prosesnya lebih dapat dipercaya.

Penyempurnaan dalam kampanye semacam itu membuat pembedaan situs web dan dokumen asli dari situs palsu menjadi lebih menantang bagi target, terutama sekarang karena para pelaku menggunakan informasi terbaru yang disalin dari sumber asli. Meskipun demikian, Cofense menekankan bahwa masih ada cara untuk mencegah menjadi korban dari tindakan ini. Selain melihat detail kecil (misalnya, tanggal yang salah pada halaman dan URL yang mencurigakan), semua penerima harus selalu berhati-hati dalam mengklik link, tidak hanya yang disematkan di email tetapi juga yang ada di lampiran.