Kelompok ancaman persisten canggih (APT) yang memiliki ikatan dengan Pakistan telah dikaitkan dengan pembuatan situs web palsu yang menyamar sebagai sistem pos sektor publik India sebagai bagian dari kampanye yang dirancang untuk menginfeksi pengguna Windows dan Android di negara ini.
Perusahaan cybersecurity Cyfirma telah mengaitkan kampanye dengan kepercayaan sedang dengan aktor ancaman yang disebut APT36, yang juga dikenal sebagai Tribe Tribe.
Situs web penipuan yang meniru posting India bernama “Postindia[.]Situs. “Pengguna yang mendarat di situs dari Windows Systems diminta untuk mengunduh dokumen PDF, sedangkan mereka yang berkunjung dari perangkat Android disajikan dengan paket aplikasi berbahaya (” indiapost.apk “).
“Ketika diakses dari desktop, situs tersebut memberikan file PDF berbahaya yang berisi taktik 'clickfix',” kata Cyfirma. “Dokumen ini menginstruksikan pengguna untuk menekan tombol Win + R, tempel perintah PowerShell yang disediakan ke dialog Run, dan jalankan – berpotensi mengkompromikan sistem.”
Analisis data EXIF yang terkait dengan PDF yang dijatuhkan menunjukkan bahwa itu dibuat pada 23 Oktober 2024, oleh seorang penulis bernama “PMYLS,” kemungkinan referensi untuk skema laptop pemuda Perdana Menteri Pakistan. Domain yang menyamar sebagai India Post terdaftar sekitar sebulan kemudian pada 20 November 2024.
Kode PowerShell dirancang untuk mengunduh muatan tahap berikutnya dari server jarak jauh (“88.222.245[.]211 “) Itu saat ini tidak aktif.
Di sisi lain, ketika situs yang sama dikunjungi dari perangkat Android, itu mendesak pengguna untuk menginstal aplikasi seluler mereka untuk “pengalaman yang lebih baik.” Aplikasi, setelah diinstal, meminta izin ekstensif yang memungkinkannya memanen dan mengeluarkan data sensitif, termasuk daftar kontak, lokasi saat ini, dan file dari penyimpanan eksternal.
“Aplikasi Android mengubah ikonnya untuk meniru ikon akun Google yang tidak dapat disambungkan untuk menyembunyikan aktivitasnya, sehingga sulit bagi pengguna untuk menemukan dan menghapus aplikasi ketika mereka ingin menghapusnya,” kata perusahaan itu. “Aplikasi ini juga memiliki fitur untuk memaksa pengguna menerima izin jika mereka ditolak pada contoh pertama.”
Aplikasi berbahaya juga dirancang untuk berjalan di latar belakang terus menerus bahkan setelah perangkat restart, sementara secara eksplisit mencari izin untuk mengabaikan optimasi baterai.
“ClickFix semakin dieksploitasi oleh penjahat cyber, scammers, dan kelompok APT, seperti yang dilaporkan oleh peneliti lain yang mengamati penggunaannya di alam liar,” kata Cyfirma. “Taktik yang muncul ini merupakan ancaman yang signifikan karena dapat menargetkan pengguna yang tidak curiga dan paham teknologi yang mungkin tidak terbiasa dengan metode seperti itu.”
