Peralatan DEBULL Menyalahgunakan Aliran Kode Perangkat Microsoft untuk Menargetkan Akun M365
Kampanye phishing kode perangkat Microsoft 365 telah diamati memanfaatkan umpan bertema kolaborasi untuk mengendalikan akun korban antara minggu terakhir bulan Juni 2026 hingga awal Juli, berdasarkan temuan dari ZeroBEC.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Kampanye phishing kode perangkat Microsoft 365 telah diamati memanfaatkan umpan bertema kolaborasi untuk mengendalikan akun korban antara minggu terakhir bulan Juni 2026 hingga…
Kampanye phishing kode perangkat Microsoft 365 telah diamati memanfaatkan umpan bertema kolaborasi untuk mengendalikan akun korban antara minggu terakhir bulan Juni 2026 hingga awal Juli, berdasarkan temuan dari ZeroBEC.
"Kampanye ini tidak bergantung pada halaman kata sandi Microsoft palsu. Kampanye ini menggunakan umpan gaya kolaborasi berbahaya untuk mendorong pengguna ke dalam pengalaman login perangkat Microsoft yang sah, sementara broker backend membuat dan melakukan survei token kode perangkat Microsoft Authentication Broker," kata perusahaan keamanan email dalam laporan yang dibagikan kepada The Hacker News.
Aktivitas ini dinilai memiliki tumpang tindih yang “kuat” dengan kampanye yang didokumentasikan oleh Microsoft pada bulan Februari 2025 dengan nama Storm-2372, termasuk penggunaan pesan atau umpan bergaya Teams untuk mengelabui korban yang tidak menaruh curiga agar memasukkan kode perangkat yang disediakan penyerang, bersama dengan kredensial mereka, yang secara efektif memungkinkan pelaku ancaman memulihkan token dan membajak akun mereka.
Pelaku ancaman telah menyalahgunakan pemisahan ini untuk memasukkan diri mereka sendiri dan memulai aliran otentikasi. Kemudian, mereka membagikan kode tersebut kepada target melalui umpan phishing. Jadi, ketika pengguna memasukkan kode, mereka mengotorisasi sesi pelaku ancaman tanpa sepengetahuan mereka, sehingga memberi mereka akses ke akun.
Kampanye ini juga diketahui memanfaatkan lompatan pengambilalihan akun (ATO), sebuah teknik di mana penyerang menyusupi akun email awal dan kemudian menyalahgunakannya untuk mengirimkan tautan phishing ke kumpulan kontak yang lebih luas dalam bentuk tombol, teks hyperlink, tertanam dalam dokumen, atau kode QR. Tautan tersebut, ketika dikunjungi oleh penerima, memulai rangkaian serangan yang menggunakan proses otorisasi perangkat Microsoft.
“Operator Tycoon 2FA telah menggunakan kembali kit PhaaS mereka yang ada sebagai kerangka pengiriman untuk phishing pemberian kode perangkat OAuth,” kata eSentire pada Mei 2026. “Serangan dimulai saat korban mengeklik URL pelacakan klik Trustifi di email umpan dan berpuncak pada korban tanpa sadar memberikan token OAuth ke perangkat yang dikendalikan penyerang melalui alur masuk perangkat Microsoft yang sah di microsoft. com/devicelogin.”
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.