Peneliti keamanan siber telah menjelaskan aspek yang sebelumnya tidak terdokumentasikan terkait dengan serangan gaya ClickFix yang bergantung pada pemanfaatan layanan jaringan iklan tunggal sebagai bagian dari kampanye pencuri informasi berbasis malvertising yang dijuluki Iklan Penipuan.
“Sepenuhnya bergantung pada satu jaringan iklan untuk penyebarannya, kampanye ini menampilkan mekanisme inti maliklan — menghasilkan lebih dari 1 juta 'tayangan iklan' setiap hari [in the last ten days] dan menyebabkan ribuan korban setiap hari kehilangan rekening dan uang mereka melalui jaringan lebih dari 3.000 situs konten yang menyalurkan lalu lintas,” kata Nati Tal, kepala Guardio Labs, dalam laporan yang dibagikan kepada The Hacker News.
Kampanye tersebut, seperti yang didokumentasikan oleh beberapa perusahaan keamanan siber dalam beberapa bulan terakhir, melibatkan mengarahkan pengunjung situs film bajakan dan lainnya ke halaman verifikasi CAPTCHA palsu yang memerintahkan mereka untuk menyalin dan menjalankan perintah PowerShell yang dikodekan Base64, yang pada akhirnya mengarah pada penyebaran pencuri informasi seperti Luma.
Serangan tidak lagi terbatas pada satu aktor saja, dengan Proofpoint baru-baru ini menyatakan bahwa beberapa kelompok ancaman “tanpa atribut” telah menggunakan pendekatan rekayasa sosial yang cerdas untuk mengirimkan trojan, pencuri, dan bahkan kerangka kerja pasca-eksploitasi akses jarak jauh seperti Brute Ratel C4.
Guardio Labs mengatakan pihaknya dapat melacak asal mula kampanye tersebut hingga ke Monetag, sebuah platform yang mengklaim menawarkan beberapa format iklan untuk “memonetisasi situs web, lalu lintas sosial, Aplikasi Mini Telegram,” dan pelaku ancaman juga memanfaatkan layanan seperti pelacakan iklan BeMob untuk menyembunyikan niat jahat mereka. Monetag juga dilacak oleh Infoblox dengan nama Vane Viper dan Omnatuor.
Inti dari kampanye ini adalah: pemilik situs web (yaitu, pelaku ancaman) mendaftar ke Monetag, setelah itu lalu lintas dialihkan ke Sistem Distribusi Lalu Lintas (TDS) yang dioperasikan oleh jaringan iklan maliklan, yang pada akhirnya mengarahkan pengunjung ke laman verifikasi CAPTCHA.
“Dengan menyediakan URL BeMob yang tidak berbahaya ke sistem manajemen iklan Monetag dan bukan halaman captcha palsu langsung, para penyerang memanfaatkan reputasi BeMob, sehingga mempersulit upaya moderasi konten Monetag,” jelas Tal. “TDS BeMob ini akhirnya dialihkan ke halaman CAPTCHA berbahaya, yang dihosting di layanan seperti Oracle Cloud, Scaleway, Bunny CDN, EXOScale, dan bahkan Cloudflare's R2.”
Setelah pengungkapan yang bertanggung jawab, Monetag telah menghapus lebih dari 200 akun yang terkait dengan pelaku ancaman. BeMob, dalam upaya serupa, menghapus akun yang digunakan untuk penyelubungan. Meski begitu, ada tanda-tanda kampanye akan dilanjutkan kembali pada 5 Desember 2024.
Temuan ini sekali lagi menyoroti perlunya moderasi konten dan validasi akun yang kuat untuk mencegah pendaftaran palsu.
“Dari situs penerbit yang menipu yang menawarkan konten bajakan atau clickbait hingga rantai pengalihan yang rumit dan teknik penyelubungan, kampanye ini menggarisbawahi bagaimana jaringan iklan, yang dirancang untuk tujuan yang sah, dapat dijadikan senjata untuk aktivitas jahat,” kata Tal.
“Hasilnya adalah rantai tanggung jawab yang terfragmentasi, dengan jaringan iklan, penerbit, layanan statistik iklan, dan penyedia hosting masing-masing memainkan peran namun sering kali menghindari akuntabilitas.”
