Peretas menyalahgunakan mekanisme pengalihan OAuth yang sah untuk melewati perlindungan phishing di email dan browser untuk membawa pengguna ke halaman berbahaya.
Serangan tersebut menargetkan organisasi pemerintah dan sektor publik dengan tautan phishing yang meminta pengguna mengautentikasi aplikasi berbahaya, kata peneliti Microsoft Defender.
dengan permintaan tanda tangan elektronik, pemberitahuan Jaminan Sosial, undangan rapat, pengaturan ulang kata sandi, atau berbagai topik keuangan dan politik yang berisi URL pengalihan OAuth. Terkadang, URL tertanam dalam file PDF untuk menghindari deteksi.
Sumber: Microsoft
Memaksa pengalihan yang berisiko
Aplikasi OAuth terdaftar pada penyedia identitas, seperti Microsoft Entra ID, dan memanfaatkan protokol OAuth 2.0 untuk mendapatkan akses tingkat aplikasi atau delegasi ke data dan sumber daya pengguna.
Dalam kampanye yang diamati oleh Microsoft, penyerang membuat aplikasi OAuth berbahaya di penyewa yang mereka kendalikan dan mengonfigurasinya dengan URI pengalihan yang mengarah ke infrastruktur mereka.
Itu kata peneliti bahwa meskipun URL untuk ID Entra tampak seperti permintaan otorisasi yang sah, titik akhir dipanggil dengan parameter untuk autentikasi senyap tanpa login interaktif dan cakupan tidak valid yang memicu kesalahan autentikasi. Hal ini memaksa penyedia identitas untuk mengarahkan pengguna ke URI pengalihan yang dikonfigurasi oleh penyerang.
Dalam beberapa kasus, korban dialihkan ke halaman phishing yang didukung oleh kerangka kerja penyerang seperti EvilProxy, yang dapat mencegat cookie sesi yang valid untuk melewati perlindungan otentikasi multi-faktor (MFA).
Microsoft menemukan bahwa parameter ‘negara’ disalahgunakan untuk mengisi otomatis alamat email korban di kotak kredensial pada halaman phishing, sehingga meningkatkan kesan legitimasi.
Sumber: Microsoft
Dalam kasus lain, korban diarahkan ke jalur ‘/ unduh’ yang secara otomatis mengirimkan file ZIP dengan file pintasan berbahaya (.LNK) dan alat penyelundupan HTML.
Membuka .LNK akan meluncurkan PowerShell, yang melakukan pengintaian pada host yang disusupi dan mengekstrak komponen yang diperlukan untuk langkah berikutnya, pemuatan samping DLL.
DLL berbahaya (crashhandler.dll) mendekripsi dan memuat muatan akhir (crashlog.dat) ke dalam memori, sementara executable sah (stream_monitor.exe) memuat umpan untuk mengalihkan perhatian korban.
Sumber: Microsoft
Microsoft menyarankan agar organisasi memperketat izin untuk aplikasi OAuth, menerapkan perlindungan identitas yang kuat dan kebijakan Akses Bersyarat, serta menggunakan deteksi lintas domain di seluruh email, identitas, dan titik akhir.
Perusahaan menyoroti bahwa serangan yang diamati adalah ancaman berbasis identitas yang menyalahgunakan perilaku yang dimaksudkan dalam kerangka OAuth yang berperilaku seperti yang ditentukan oleh standar yang menentukan bagaimana kesalahan otorisasi dikelola melalui pengalihan.
Para peneliti memperingatkan bahwa pelaku ancaman kini memicu kesalahan OAuth melalui parameter yang tidak valid, seperti scope atau prompt=none, untuk memaksa pengalihan kesalahan senyap sebagai bagian dari serangan dunia nyata.
Laporan Merah 2026: Mengapa Enkripsi Ransomware Turun 38%
Malware semakin pintar. Laporan Merah 2026 mengungkapkan bagaimana ancaman baru menggunakan matematika untuk mendeteksi kotak pasir dan bersembunyi di depan mata.
Unduh analisis kami terhadap 1,1 juta sampel berbahaya untuk mengungkap 10 teknik teratas dan lihat apakah tumpukan keamanan Anda tidak diketahui.
