Internet Sehat : Kaspersky mengatakan bahwa token Amazon Simple Email Service (SES) yang sah yang dikeluarkan untuk kontraktor pihak ketiga baru-baru ini digunakan oleh pelaku ancaman di balik kampanye spear-phishing yang menargetkan pengguna Office 365.

Amazon SES adalah layanan email skalabel yang dirancang untuk memungkinkan pengembang mengirim email dari aplikasi apa pun untuk berbagai kasus penggunaan, termasuk pemasaran dan komunikasi email massal.

Pakar keamanan Kaspersky menghubungkan upaya phishing dengan beberapa penjahat dunia maya yang menggunakan dua kit phishing dalam kampanye ini, satu dikenal sebagai Iamtheboss dan lainnya bernama MIRCBOOT.

Menurut Kaspersky, token akses ini dikeluarkan untuk kontraktor pihak ketiga selama pengujian situs web 2050.earth. Token ini merupakan yang pertama dari jenisnya yang dikeluarkan oleh perusahaan keamanan siber Rusia dalam enam tahun terakhir. Situs ini juga dihosting di infrastruktur Amazon. Setelah ditemukannya serangan phishing ini, token SES segera dicabut.

Pelaku ancaman tidak berusaha untuk meniru Kaspersky dan memutuskan untuk menyamarkan pesan phishing mereka sebagai pemberitahuan faks yang terlewat, mengarahkan calon korban ke halaman arahan phishing yang dirancang untuk mengambil kredensial Microsoft mereka.

Namun, mereka menggunakan email resmi Kaspersky dan mengirim email dari infrastruktur Amazon Web Services, yang kemungkinan membantu mereka mencapai kotak surat target dengan menghindari sebagian besar perlindungan Secure Email Gateway (SEG).

Kaspersky mendorong pengguna dan mereka yang ditargetkan dalam serangan spear-phishing ini untuk berhati-hati dan tetap waspada bahkan ketika dimintai kredensial atau informasi sensitif lainnya, bahkan jika pesan yang meminta info tersebut tampaknya berasal dari merek atau alamat email yang sudah dikenal.

Dalam berita terkait, Microsoft juga memperingatkan pada bulan Agustus tentang kampanye spear-phishing yang menargetkan pelanggan Office 365 dalam berbagai gelombang sejak Juli 2020. Perusahaan juga mengatakan pada bulan Maret bahwa penyerang di balik operasi phishing skala besar mencuri sekitar 400.000 kredensial OWA dan Office 365 sejak Desember 2020.

Pelanggan Microsoft Defender ATP juga diperingatkan pada akhir Januari tentang peningkatan jumlah serangan phishing persetujuan (phishing OAuth) yang menargetkan pekerja jarak jauh.

Sumber : Bleeping Computer