Jalisco dan OmegaLord, Phishing Kit Baru yang Mampu Melewati Proteksi MFA Microsoft 365

Peneliti keamanan menemukan dua phishing kit baru bernama Jalisco dan OmegaLord yang secara khusus menargetkan akun Microsoft 365. Keduanya menggunakan teknik berbeda untuk melewati perlindungan Multi-Factor Authentication (MFA), sehingga meningkatkan risiko pembajakan akun meskipun autentikasi berlapis telah diaktifkan.
Temuan ini diungkap oleh peneliti dari perusahaan keamanan siber ReliaQuest, yang menyebut bahwa pelaku ancaman kini tidak hanya mengembangkan teknik phishing tradisional, tetapi juga memanfaatkan mekanisme autentikasi modern untuk memperoleh akses ke akun korban.
Jalisco Memanfaatkan Device Code Phishing
Phishing kit Jalisco menggunakan metode device code phishing, teknik yang belakangan semakin sering dimanfaatkan dalam serangan terhadap akun Microsoft 365.
Metode ini menyalahgunakan mekanisme OAuth 2.0 Device Authorization Grant, yang sebenarnya dirancang untuk memudahkan proses login pada perangkat dengan kemampuan input terbatas.
Skema serangannya dimulai ketika pelaku mengirim permintaan login ke layanan Microsoft, seperti Microsoft 365, sehingga sistem menghasilkan device authorization code.
Melalui rekayasa sosial, korban kemudian diarahkan menuju halaman login resmi Microsoft dan diminta memasukkan kode tersebut. Tanpa disadari, tindakan itu justru memberikan otorisasi kepada perangkat yang dikendalikan oleh pelaku.
Setelah perangkat memperoleh izin, penyerang dapat mengakses akun korban tanpa perlu mengetahui username maupun password.
Mengatasi Batas Waktu Device Code
Microsoft sebenarnya membatasi masa berlaku device code selama 15 menit untuk mengurangi risiko penyalahgunaan.
Namun, Jalisco mampu menghasilkan kode baru secara otomatis setiap kali korban membuka halaman phishing.
Dengan cara tersebut, toolkit ini dapat terus menyediakan kode yang masih valid sehingga pembatasan waktu dari Microsoft tidak lagi menjadi hambatan bagi pelaku.
Selain itu, Jalisco juga dilengkapi panel manajemen yang memungkinkan operator memantau akun yang berhasil dikompromikan serta mengelola sesi login yang telah diperoleh.
Dalam beberapa kasus, ReliaQuest menemukan pelaku mendaftarkan hingga lima perangkat palsu pada satu akun korban. Nama perangkat tersebut bahkan dibuat menyerupai perangkat resmi dengan menggunakan kata seperti Microsoft atau Windows agar tidak menimbulkan kecurigaan.
Data Dicuri Hanya dalam Hitungan Menit
Setelah berhasil mengambil alih akun, pelaku biasanya langsung mencari data penting yang tersimpan di layanan seperti:
- Microsoft SharePoint
- Layanan SaaS lainnya
Informasi yang menjadi target antara lain:
- Data pribadi pelanggan maupun karyawan.
- Dokumen internal perusahaan.
- Informasi keuangan.
- Komunikasi internal.
Menurut ReliaQuest, proses pencurian data dapat berlangsung sangat cepat, bahkan hanya membutuhkan waktu sekitar enam menit sebelum tim keamanan menyadari adanya kompromi.
Setelah data berhasil dicuri, pelaku umumnya melanjutkan aksinya dengan melakukan pemerasan dan mengancam akan membocorkan data tersebut.
OmegaLord Menyamar Sebagai PDF Reader
Berbeda dengan Jalisco, OmegaLord menggunakan pendekatan phishing yang lebih konvensional.
Toolkit ini menampilkan halaman login palsu yang menyamar sebagai PDF Reader untuk mencuri:
- Alamat email.
- Password.
- Nomor telepon pengguna.
ReliaQuest menilai pencurian nomor telepon bukan dilakukan tanpa alasan. Informasi tersebut kemungkinan digunakan untuk membantu pelaku melewati mekanisme MFA, baik dengan mencegat kode autentikasi maupun mempermudah proses pembajakan akun.
Serangan Semakin Fokus Menembus MFA
ReliaQuest menilai munculnya Jalisco dan OmegaLord menunjukkan bahwa pelaku ancaman kini secara aktif mengembangkan teknik yang secara khusus dirancang untuk melewati perlindungan MFA, yang selama ini dianggap sebagai salah satu lapisan keamanan paling efektif.
Jalisco sendiri menambah daftar phishing kit yang telah memanfaatkan metode device code phishing, bergabung dengan toolkit lain seperti EvilTokens, Kali365, Tycoon2FA, Venom, dan Forg365.
Rekomendasi Mitigasi
Untuk mengurangi risiko serangan serupa, ReliaQuest memberikan beberapa rekomendasi kepada administrator Microsoft 365, di antaranya:
- Mengurangi batas registrasi perangkat di Microsoft Entra ID dari nilai bawaan 50 perangkat menjadi satu atau dua perangkat.
- Menonaktifkan device code authentication melalui kebijakan Microsoft Entra Conditional Access apabila tidak dibutuhkan.
- Membatasi penggunaan OAuth Device Authorization Grant pada lingkungan Okta.
- Melakukan audit serta menghapus app registration yang sudah tidak digunakan.
Langkah-langkah tersebut dinilai dapat memperkecil peluang penyalahgunaan akun sekaligus mempercepat proses respons apabila terjadi insiden pembajakan akun.
Sumber: ReliaQuest








