Para ahli keamanan siber memperingatkan adanya operasi phising yang menggunakan penyalahgunaan Cloudflare Workers untuk mencuri kredensial terjadi secara masif.
Trik ini menyalahgunakan Cloudflare Workers untuk melayani situs phising yang digunakan untuk mengambil kredensial pengguna yang terkait dengan Microsoft, Gmail, Yahoo!, dan cPanel Webmail.
Baca juga: Penyalahgunaan Undangan Google Ads |
Penyalahgunaan Cloudflare Workers
Metode serangan, yang disebut phising transparan atau phising adversary-in-the-middle (AitM), menggunakan Cloudflare Workers untuk bertindak sebagai server proxy terbalik untuk halaman login yang sah, mencegat lalu lintas antara korban dan halaman login untuk menangkap kredensial, cookie, dan token.
Mayoritas operasi phising yang dihosting di Cloudflare Workers selama 30 hari terakhir menargetkan korban di antaranya:
- Asia.
- Amerika Utara.
- Eropa Selatan.
Dan target yang disasar mencakup beberapa sektor yang cukup krusial seperti:
- Teknologi.
- Layanan keuangan.
- Perbankan.
Sementara itu, peningkatan lalu lintas ke halaman phising yang dihosting Cloudflare Workers pertama kali tercatat pada Q2 tahun 2023.
Dan dari pengamatan ada lonjakan jumlah total domain berbeda, dari sedikit di atas 1.000 pada Q4 2023 menjadi hampir 1.300 pada Q1 2024.
HTML Smuggling
Operasi phising menggunakan teknik yang disebut HTML Smuggling, yang melibatkan penggunaan JavaScript berbahaya untuk mengumpulkan muatan berbahaya di sisi klien untuk menghindari perlindungan keamanan.
Hal ini juga berfungsi untuk menyoroti strategi canggih yang digunakan pelaku ancaman untuk menyebarkan dan melaksanakan serangan terhadap sistem yang ditargetkan.
Yang berbeda dalam kasus ini adalah muatan berbahayanya adalah halaman phising, yang direkonstruksi dan ditampilkan kepada pengguna di browser web.
Halaman phising, pada bagiannya, mendesak korban untuk masuk dengan Microsoft Outlook atau Office 365 (sekarang Microsoft 365) untuk melihat dokumen PDF yang diklaim.
Jika mereka menindaklanjutinya, halaman masuk palsu yang dihosting di Cloudflare Workers akan digunakan untuk mengambil kredensial dan kode autentikasi multi-faktor (MFA) mereka.
Seluruh halaman phising dibuat menggunakan versi modifikasi dari toolkit Cloudflare AitM open source. Setelah korban mengakses halaman login penyerang, penyerang mengumpulkan metadata permintaan webnya.
Setelah korban memasukkan kredensial mereka, mereka akan masuk ke situs web yang sah, dan penyerang akan mengumpulkan token dan cookie sebagai respons. Selain itu, penyerang juga akan memiliki visibilitas ke dalam aktivitas tambahan apa pun yang dilakukan korban setelah login.
HTML Smuggling sebagai mekanisme pengiriman muatan semakin disukai oleh pelaku yang ingin menerobos pertahanan modern, sehingga memungkinkan untuk menyajikan halaman HTML palsu dan malware lainnya tanpa menimbulkan tanda bahaya apa pun.
Baca juga: Penyalahgunaan Kredensial |
Phising Bertema Faktur
Operasi phising lain yang menarik perhatian melibatkan email phising bertema faktur yang berisi lampiran HTML yang menyamar sebagai halaman login penampil PDF untuk mencuri kredensial akun email pengguna, sebelum mengarahkan mereka ke URL yang menampung apa yang disebut “bukti pembayaran”.
Dalam beberapa tahun terakhir, serangan phising berbasis email telah terjadi dalam berbagai bentuk, termasuk memanfaatkan toolkit phising-as-a-service (PhaaS) seperti Greatness untuk mencuri kredensial masuk Microsoft 365 dan menghindari MFA menggunakan teknik AitM, dengan penyerang memasukkan kode QR dalam PDF file dan memanfaatkan pemeriksaan CAPTCHA sebelum mengarahkan korban ke halaman login palsu.
Entitas jasa keuangan, manufaktur, energi/utilitas, ritel, dan konsultasi yang berlokasi di AS, Kanada, Jerman, Korea Selatan, dan Norwegia telah muncul sebagai sektor utama yang ditargetkan oleh PhaaS Greatness.
Layanan ini menawarkan kemampuan canggih yang menarik bagi pelaku dengan menghemat waktu mereka dalam pengembangan dan taktik penghindaran.
Kecerdasan Buatan GenAI
Perkembangan ini terjadi ketika pelaku ancaman terus-menerus menemukan cara baru untuk mengakali sistem keamanan dan menyebarkan malware dengan menggunakan kecerdasan buatan generatif (GenAI) untuk membuat email phising yang efektif dan mengirimkan lampiran file terkompresi yang berisi muatan malware yang terlalu besar (berukuran lebih dari 100 MB) dengan harapan menghindari analisis.
Memindai file yang lebih besar membutuhkan lebih banyak waktu dan sumber daya, yang dapat memperlambat kinerja sistem secara keseluruhan selama proses pemindaian. Untuk meminimalkan jejak memori yang besar, beberapa mesin antivirus mungkin menetapkan batas ukuran pemindaian, yang menyebabkan file berukuran besar dilewati.
Metode inflasi file telah diamati sebagai taktik serangan untuk mengirimkan malware tambahan, seperti Agen Tesla, AsyncRAT, Quasar RAT, dan Remcos RAT.
Terlebih lagi, penggunaan GenAI yang bermusuhan untuk pengembangan eksploitasi dan pembuatan deepfake oleh berbagai pelaku ancaman menggarisbawahi perlunya langkah-langkah keamanan yang kuat, pedoman etika, dan mekanisme pengawasan.
Baca juga: Bahaya Penyelahgunaan Kredensial Khusus |
Teknik DNS Tunnel
Penggunaan pendekatan inovatif untuk melewati mekanisme deteksi tradisional juga telah diperluas ke operasi seperti TrkCdn, SpamTracker, dan SecShow yang memanfaatkan Domain Name System (DNS) Tunnel untuk memantau kapan target mereka membuka email phising dan mengeklik tautan berbahaya, melacak pengiriman spam, serta memindai jaringan korban untuk mencari potensi kerentanan.
Teknik DNS Tunnel yang digunakan dalam operasi TrkCdn dimaksudkan untuk melacak interaksi korban dengan konten emailnya, menambahkan bahwa para pelaku menyematkan konten di email yang ketika dibuka melakukan kueri DNS ke subdomain yang dikendalikan pelaku.
Menggunakan email dan tautan situs web untuk mengirimkan konten spam dan phising. Tujuan dari operasi ini adalah untuk memikat korban agar mengeklik tautan yang digunakan pelaku ancaman untuk menyembunyikan muatan mereka di subdomain.
Temuan ini juga muncul di tengah lonjakan operasi malvertising yang memanfaatkan iklan berbahaya untuk perangkat lunak populer di hasil mesin pencari untuk mengelabui pengguna agar memasang pencuri informasi dan trojan akses jarak jauh seperti SectopRAT alias ArechClient.
Selain itu, pelaku kejahatan juga terlihat membuat halaman palsu yang meniru lembaga keuangan seperti Barclays yang menyediakan perangkat lunak desktop jarak jauh yang sah seperti AnyDesk dengan kedok menawarkan dukungan obrolan langsung, sehingga memberi mereka akses jarak jauh ke sistem dalam prosesnya.
Sekarang menjadi lebih penting dari sebelumnya untuk sangat berhati-hati ketika menyangkut hasil yang disponsori. Seringkali, tidak ada cara mudah untuk menentukan apakah sebuah iklan sah atau tidak. Penjahat dapat membuat penginstal berbahaya yang dapat menghindari deteksi dan menyebabkan kompromi melalui serangkaian langkah.
Sumber berita: