Image credit: Freepix
Penyusup di Balik Centang Resmi – Keamanan siber di tingkat global baru-baru ini diguncang oleh penemuan kasus yang sangat jarang terjadi namun berisiko tinggi.
Sebuah alat pembantu (add-in) resmi di Microsoft Marketplace telah dibajak dan diubah menjadi mesin pencuri data (phising kit).
Insiden yang menimpa add-in bernama “AgreeTo” ini menjadi tonggak sejarah baru dalam ancaman keamanan rantai pasok (supply chain).
Karena ini merupakan pertama kalinya sebuah malware ditemukan bersarang di dalam ekosistem resmi Microsoft yang dianggap tepercaya oleh jutaan pengguna.
Kasus ini membuktikan bahwa aplikasi yang telah melewati proses kurasi resmi sekalipun tidak sepenuhnya bebas dari risiko, terutama ketika pengembang aslinya menelantarkan proyek tersebut tanpa pembersihan jejak digital yang benar.
Eksploitasi URL yang Terlantar
AgreeTo awalnya adalah alat penjadwalan pertemuan yang sah bagi pengguna Outlook. Dikembangkan oleh penerbit independen, modul ini telah tersedia di toko resmi Microsoft Office sejak Desember 2022.
Sebagai add-in modern, AgreeTo bekerja dengan cara memuat konten dari server pengembang melalui URL tertentu ke dalam antarmuka Microsoft.
Masalah muncul ketika pengembang aslinya mengabaikan proyek tersebut tetapi tidak menghapus pendaftaran add-in dari pasar Microsoft.
URL yang digunakan untuk memuat konten tersebut, yang dihosting di platform Vercel, dibiarkan tidak aktif (yatim piatu). Penjahat siber kemudian mengambil alih URL tersebut dan menanamkan kit phishing yang sangat canggih di dalamnya.
Karena add-in tersebut sudah pernah ditinjau dan disetujui oleh Microsoft, perubahan konten di sisi server pengembang tidak memerlukan verifikasi ulang.
Hal ini memungkinkan penjahat siber untuk mengubah tampilan aplikasi secara total tanpa memicu alarm keamanan di pihak Microsoft.
|
Baca juga: Airstalk Malware Lihai Curi Data Perusahaan |
Pencurian Data Skala Masif
Peneliti yang menemukan kompromi ini mengungkapkan bahwa penyerang telah memasang halaman masuk (sign-in) Microsoft palsu di dalam sidebar Outlook.
Ketika pengguna mencoba menggunakan AgreeTo, mereka akan melihat perintah login yang tampak sangat identik dengan aslinya.
Dampak dari serangan ini sangat luar biasa:
- Pencurian Kredensial: Lebih dari 4.000 data akun Microsoft telah berhasil dicuri. Penyerang ditemukan secara aktif menguji validitas kredensial ini secara real-time.
- Pencurian Data Finansial: Selain kata sandi, penyerang juga mengumpulkan nomor kartu kredit dan jawaban atas pertanyaan keamanan perbankan milik korban.
- Eksfiltrasi via Telegram: Semua data yang dimasukkan oleh korban dikirimkan langsung ke penyerang melalui API bot Telegram. Untuk mengurangi kecurigaan, setelah data dicuri, korban akan diarahkan kembali ke halaman masuk Microsoft yang asli.
- Izin Akses Berbahaya: Add-in ini memiliki izin ReadWriteItem, yang berarti ia memiliki kemampuan teknis untuk membaca dan memodifikasi email pengguna, memberikan peluang bagi penyerang untuk melakukan spionase lebih lanjut.
Lubang Keamanan pada Marketplace Resmi
Kasus AgreeTo menyoroti celah fatal dalam proses pengawasan toko aplikasi besar. Saat ini, Microsoft hanya memeriksa file manifes dan menandatanganinya untuk persetujuan awal.
Setelah sebuah aplikasi terdaftar, pembaruan konten yang dimuat dari server eksternal pengembang sering kali berada di luar jangkauan pengawasan harian.
Peneliti mencatat bahwa operator di balik serangan ini bukanlah pemain baru; mereka diduga mengoperasikan setidaknya selusin kit phishing tambahan yang menargetkan penyedia layanan internet, bank, dan penyedia email web lainnya.
Fakta bahwa mereka berhasil menembus pasar resmi Microsoft menandakan adanya peningkatan ambisi dan kapabilitas teknis dari kelompok kriminal siber ini.
|
Baca juga: Risiko Fans K-Pop Serangan Malware KakaoTalk |
Korelasi dengan Keamanan Siber di Indonesia
Insiden ini membawa pesan peringatan yang sangat kuat bagi pengguna dan organisasi di Indonesia:
- Kepercayaan Buta pada “Tanda Centang” Resmi Banyak organisasi di Indonesia, baik instansi pemerintah maupun swasta, memiliki kebijakan untuk hanya mengizinkan aplikasi dari toko resmi. Kasus ini menunjukkan bahwa kebijakan tersebut tidak lagi cukup. Tim TI di Indonesia harus mulai menerapkan pemeriksaan berlapis (defense-in-depth) dan tidak berasumsi bahwa semua yang ada di pasar resmi 100% aman selamanya.
- Risiko pada Pengguna Perbankan Digital Dengan temuan bahwa penyerang juga mencuri nomor kartu kredit dan jawaban keamanan bank, pengguna di Indonesia yang sering menggunakan Outlook untuk urusan bisnis dan transaksi finansial berada dalam risiko tinggi. Pencurian identitas semacam ini dapat berujung pada pengurasan rekening bank atau penyalahgunaan kartu kredit secara global.
- Urgency Pembersihan Aset Digital (Digital Hygiene) Banyak pengembang aplikasi di Indonesia yang mungkin memiliki proyek sampingan atau aplikasi yang sudah tidak digunakan lagi tetapi masih terdaftar di berbagai pasar digital. Jika aset digital ini (seperti domain atau URL hosting) tidak dikelola dengan benar, mereka dapat menjadi pintu masuk bagi peretas untuk mengeksploitasi pengguna setia aplikasi tersebut di masa lalu.
Langkah Mitigasi dan Pencegahan
Microsoft kini telah menghapus AgreeTo dari tokonya, namun risiko tetap ada bagi mereka yang masih memasang add-in tersebut. Para peneliti menyarankan langkah-langkah berikut:
- Hapus Segera: Jika Anda masih memasang AgreeTo di Outlook, segera hapus aplikasi tersebut melalui menu pengaturan add-in.
- Reset Kata Sandi: Segera ganti kata sandi akun Microsoft Anda dan aktifkan Autentikasi Multi-Faktor (MFA) jika belum dilakukan.
- Audit Add-in Organisasi: Bagi administrator TI, lakukan audit menyeluruh terhadap semua add-in pihak ketiga yang terpasang di akun karyawan. Batasi instalasi aplikasi hanya pada alat yang benar-benar dibutuhkan dan memiliki reputasi pengembang yang aktif.
- Waspadai Prompt Login: Jangan pernah memasukkan kredensial pada jendela pop-up atau sidebar di dalam aplikasi kecuali Anda benar-benar yakin akan keasliannya.
Pembajakan AgreeTo adalah pengingat keras bahwa rantai pasok perangkat lunak adalah medan pertempuran baru yang sangat rawan.
Keamanan tidak lagi bisa dipandang sebagai status statis setelah aplikasi lolos verifikasi, melainkan sebuah proses berkelanjutan.
Kewaspadaan digital tetap menjadi pertahanan terbaik, bahkan saat kita berada di dalam ekosistem yang dianggap paling aman sekalipun.
Sumber berita:
