Credit image: Freepix
Belum lama ini terjadi kejahatan siber dengan memanfaatkan puluhan ribu sub domain manipulasi SEO curi kripto dalam skala besar.
Peneliti keamanan siber telah mengungkap apa yang mereka sebut sebagai operasi phising mata uang kripto global berskala industri yang dirancang untuk mencuri aset digital dari dompet mata uang kripto selama beberapa tahun.
Operasi serangan siber tersebut diberi nama kode FreeDrain oleh para peneliti keamanan. FreeDrain menggunakan dua teknik meliputi:
- Manipulasi SEO, layanan web tingkat gratis (seperti gitbook.io, webflow.io, dan github.io).
- Teknik pengalihan berlapis untuk menargetkan dompet mata uang kripto.
Korban mencari kueri terkait dompet, mengeklik hasil berbahaya berperingkat tinggi, membuka halaman umpan, dan dialihkan ke halaman phising yang mencuri frasa awal mereka.
Skala operasi tercermin dalam fakta bahwa lebih dari 38.000 subdomain FreeDrain yang berbeda yang menghosting halaman umpan telah diidentifikasi.
Halaman-halaman ini dihosting pada infrastruktur cloud seperti Amazon S3 dan Azure Web Apps, dan meniru antarmuka dompet mata uang kripto yang sah.
Aktivitas tersebut telah dikaitkan dengan keyakinan tinggi kepada individu yang tinggal di zona waktu Waktu Standar India (IST), bekerja pada jam kerja standar, dengan mengutip pola komitmen GitHub yang terkait dengan halaman umpan.
Serangan tersebut telah ditemukan menargetkan pengguna yang mencari kueri terkait dompet seperti saldo dompet Trezor pada mesin pencari seperti Google, Bing, dan DuckDuckGo, mengarahkan mereka ke halaman arahan palsu yang dihosting di gitbook.io, webflow.io, dan github.io.
Pengguna yang tidak menaruh curiga yang masuk ke halaman ini akan diberikan tangkapan layar statis dari antarmuka dompet yang sah, dengan mengekliknya, salah satu dari tiga perilaku di bawah ini akan terjadi.
|
Baca juga: AppDomain Manager Injection |
Mengalihkan Pengguna ke Situs Web yang Sah
Trik mengalihkan pengguna ke situs web sah sebenernya bukan hal yang baru, namun trik selalu berhasil karena korban tidak pernah menyadarinya.
- Mengalihkan pengguna ke situs perantara lainnya
- Mengalihkan pengguna ke halaman phising yang mirip yang meminta mereka untuk memasukkan frasa awal, yang secara efektif menguras dompet mereka
Seluruh alurnya tanpa hambatan berdasarkan desain, memadukan manipulasi SEO, elemen visual yang familiar, dan kepercayaan platform untuk menidurkan korban ke dalam rasa legitimasi yang salah. Dan setelah frasa awal dikirimkan, infrastruktur otomatis penyerang akan menguras dana dalam hitungan menit.
Diyakini bahwa konten tekstual yang digunakan dalam halaman umpan ini dibuat menggunakan Large Language Model (LLM) seperti OpenAI GPT-4o, yang menunjukkan bagaimana pelaku menyalahgunakan alat kecerdasan buatan generatif (GenAI) untuk menghasilkan konten dalam skala besar.
Spamdexing dan Situs Gratis
FreeDrain juga telah diamati membanjiri situs web yang tidak dikelola dengan baik dengan ribuan komentar spam untuk meningkatkan visibilitas halaman umpan mereka melalui pengindeksan mesin pencari, sebuah teknik yang disebut spamdexing yang sering digunakan untuk mengelabui SEO.
Perlu dicatat bahwa beberapa aspek operasi tersebut telah didokumentasikan sebelumnya sejak Agustus 2022 dan baru-baru ini pada Oktober 2024, ketika pelaku ditemukan menggunakan Webflow untuk memutar situs phising yang menyamar sebagai:
- Coinbase.
- MetaMask.
- Phantom
- Trezor.
- Bitbuy.
Ketergantungan FreeDrain pada platform gratis bukanlah hal yang unik, dan tanpa perlindungan yang lebih baik, layanan ini akan terus dijadikan senjata dalam skala besar menurut para peneliti.
Jaringan FreeDrain merupakan cetak biru modern untuk operasi phising yang dapat diskalakan, yang berkembang pesat pada platform gratis, menghindari metode deteksi penyalahgunaan tradisional, dan beradaptasi dengan cepat terhadap pencopotan infrastruktur.
Dengan menyalahgunakan lusinan layanan sah untuk menghosting konten, mendistribusikan halaman umpan, dan mengarahkan korban, FreeDrain telah membangun ekosistem tangguh yang sulit diganggu dan mudah dibangun kembali.
Penyalahgunaan Discord
Pengungkapan tersebut muncul saat ditemukan operasi phising canggih yang menyalahgunakan Discord dan memilih pengguna mata uang kripto untuk mencuri dana mereka menggunakan alat Drainer-as-a-Service (DaaS) yang disebut Inferno Drainer.
Serangan tersebut membujuk korban untuk bergabung dengan server Discord yang berbahaya dengan membajak tautan undangan khusus yang kedaluwarsa, sekaligus memanfaatkan alur autentikasi Discord OAuth2 untuk menghindari deteksi otomatis situs web berbahaya mereka.
Antara September 2024 dan Maret 2025, lebih dari 30.000 dompet unik diperkirakan telah menjadi korban Inferno Drainer, yang mengakibatkan kerugian setidaknya $9 juta.
Inferno Drainer mengklaim telah menutup operasinya pada November 2023. Namun, temuan terbaru mengungkapkan bahwa penguras kripto tersebut masih aktif, menggunakan kontrak pintar sekali pakai dan konfigurasi terenkripsi on-chain untuk membuat deteksi menjadi lebih sulit.
Inferno Drainer menggunakan taktik antideteksi tingkat lanjut, termasuk kontrak pintar sekali pakai dan berjangka pendek, konfigurasi terenkripsi on-chain, dan komunikasi berbasis proxy yang berhasil melewati mekanisme keamanan dompet dan daftar hitam antiphising.
|
Baca juga: Sitting Duck Bajak Ribuan Domain |
Operasi Malvertising Facebook
Temuan itu juga mengikuti penemuan operasi malvertising yang memanfaatkan iklan Facebook yang meniru bursa mata uang kripto tepercaya dan platform perdagangan seperti:
- Binance.
- Bybit.
- TradingView.
Uuntuk mengarahkan pengguna ke situs web mencurigakan yang memerintahkan mereka mengunduh klien desktop.
Parameter kueri yang terkait dengan Iklan Facebook digunakan untuk mendeteksi korban yang sah, sementara lingkungan analisis yang mencurigakan atau otomatis menerima konten yang tidak berbahaya.
Jika situs mendeteksi kondisi yang mencurigakan misalnya, parameter pelacakan iklan yang hilang atau lingkungan yang khas dari analisis keamanan otomatis, situs tersebut akan menampilkan konten yang tidak berbahaya dan tidak terkait sebagai gantinya.
Setelah diluncurkan, penginstal akan menampilkan halaman login entitas yang ditiru melalui msedge_proxy.exe untuk melanjutkan tipu daya.
Sementara muatan tambahan dieksekusi secara diam-diam di latar belakang untuk mengumpulkan informasi sistem, atau menjalankan perintah tidur selama “ratusan jam tanpa henti” jika data yang diekstraksi menunjukkan lingkungan sandboxing.
Peneliti mengatakan bahwa ratusan akun Facebook telah mengiklankan halaman-halaman yang menyebarkan malware ini yang terutama menargetkan pria berusia di atas 18 tahun.
Operasi ini menampilkan pendekatan hibrida, menggabungkan penipuan front-end dan layanan malware berbasis localhost. Dengan menyesuaikan diri secara dinamis dengan lingkungan korban dan terus memperbarui muatan, pelaku mempertahankan operasi yang tangguh dan kemampuan penghidnaran yang kuat.
Demikian pembahasan kita kali ini mengenai puluhan ribu sub domain manipulasi SEO curi kripto dalam skala besar, smeoga bermanfaat.
Sumber berita:
