Peneliti keamanan siber telah memperingatkan adanya kampanye phishing yang sedang berlangsung yang menyalahgunakan entri penyegaran dalam header HTTP untuk mengirimkan halaman login email palsu yang dirancang untuk mengumpulkan kredensial pengguna.
“Tidak seperti perilaku distribusi halaman web phishing lainnya melalui konten HTML, serangan ini menggunakan header respons yang dikirim oleh server, yang terjadi sebelum pemrosesan konten HTML,” kata peneliti Palo Alto Networks Unit 42 Yu Zhang, Zeyu You, dan Wei Wang.
“Tautan berbahaya mengarahkan browser untuk secara otomatis menyegarkan atau memuat ulang laman web dengan segera, tanpa memerlukan interaksi pengguna.”
Target aktivitas berskala besar, yang diamati antara Mei dan Juli 2024, mencakup perusahaan besar di Korea Selatan, serta lembaga pemerintah dan sekolah di AS. Sebanyak 2.000 URL berbahaya telah dikaitkan dengan kampanye tersebut.
Lebih dari 36% serangan menargetkan sektor bisnis dan ekonomi, diikuti oleh layanan keuangan (12,9%), pemerintahan (6,9%), kesehatan dan kedokteran (5,7%), serta komputer dan internet (5,4%).
Serangan tersebut adalah yang terbaru dalam daftar panjang taktik yang digunakan pelaku ancaman untuk mengaburkan maksud mereka dan mengelabui penerima email agar memberikan informasi sensitif, termasuk memanfaatkan domain tingkat atas (TLD) dan nama domain yang sedang tren untuk menyebarkan serangan phishing dan pengalihan.
Rantai infeksi dicirikan oleh pengiriman tautan berbahaya melalui URL penyegaran tajuk yang berisi alamat email penerima yang menjadi target. Tautan yang akan diarahkan disematkan di tajuk respons Penyegaran.
Titik awal rantai infeksi adalah pesan email yang berisi tautan yang meniru domain sah atau yang telah disusupi, yang jika diklik, akan memicu pengalihan ke halaman pengumpulan kredensial yang dikendalikan oleh aktor.
Agar upaya phishing terlihat sah, halaman login webmail yang berbahaya telah diisi alamat email penerima. Penyerang juga telah diamati menggunakan domain sah yang menawarkan layanan pemendekan URL, pelacakan, dan pemasaran kampanye.
“Dengan meniru domain sah secara cermat dan mengarahkan korban ke situs resmi, penyerang dapat secara efektif menutupi sasaran sebenarnya dan meningkatkan kemungkinan pencurian kredensial yang berhasil,” kata para peneliti.
“Taktik ini menyoroti strategi canggih yang digunakan penyerang untuk menghindari deteksi dan mengeksploitasi target yang tidak menaruh curiga.”
Phishing dan peretasan email bisnis (BEC) terus menjadi jalur utama bagi penyerang yang ingin mencuri informasi dan melakukan serangan bermotif finansial.
Serangan BEC telah merugikan organisasi AS dan internasional sekitar $55,49 miliar antara Oktober 2013 dan Desember 2023, dengan lebih dari 305.000 insiden penipuan dilaporkan selama periode waktu yang sama, menurut Biro Investigasi Federal AS (FBI).
Perkembangan ini terjadi di tengah “puluhan kampanye penipuan” yang telah memanfaatkan video deepfake yang menampilkan tokoh masyarakat, CEO, pembawa berita, dan pejabat tinggi pemerintah untuk mempromosikan skema investasi palsu seperti Quantum AI setidaknya sejak Juli 2023.
Kampanye ini disebarkan melalui posting dan iklan di berbagai platform media sosial, mengarahkan pengguna ke halaman web palsu yang meminta mereka mengisi formulir untuk mendaftar, setelah itu penipu menghubungi mereka melalui panggilan telepon dan meminta mereka membayar biaya awal sebesar $250 untuk mengakses layanan tersebut.
“Penipu menginstruksikan korban untuk mengunduh aplikasi khusus sehingga mereka dapat 'menginvestasikan' lebih banyak dana mereka,” kata peneliti Unit 42. “Di dalam aplikasi, dasbor tampak menunjukkan keuntungan kecil.”
“Terakhir, ketika korban mencoba menarik dana mereka, penipu meminta biaya penarikan atau menyebutkan alasan lain (misalnya, masalah pajak) sehingga tidak dapat memperoleh kembali dana mereka.
“Para penipu kemudian dapat mengunci akun korban dan mengantongi sisa dana, yang mengakibatkan korban kehilangan sebagian besar uang yang mereka masukkan ke dalam 'platform'.”
Hal ini juga menindaklanjuti penemuan aktor ancaman tersembunyi yang menampilkan dirinya sebagai perusahaan sah dan telah mengiklankan layanan penyelesaian CAPTCHA otomatis dalam skala besar kepada penjahat dunia maya lainnya dan membantu mereka menyusup ke jaringan TI.
Dijuluki Greasy Opal oleh Arkose Labs, “bisnis pemberdayaan serangan siber” yang berpusat di Republik Ceko ini diyakini telah beroperasi sejak tahun 2009, menawarkan kepada pelanggan berbagai macam alat untuk pencurian kredensial, pembuatan akun palsu massal, otomatisasi peramban, dan spam media sosial dengan harga $190 dan tambahan $10 untuk langganan bulanan.
Portofolio produknya mencakup berbagai kejahatan dunia maya, yang memungkinkan mereka mengembangkan model bisnis yang canggih dengan mengemas beberapa layanan menjadi satu. Pendapatan perusahaan untuk tahun 2023 saja dikatakan tidak kurang dari $1,7 juta.
“Greasy Opal menggunakan teknologi OCR mutakhir untuk menganalisis dan menginterpretasikan CAPTCHA berbasis teks secara efektif, bahkan yang terdistorsi atau terhalang oleh noise, rotasi, atau oklusi,” perusahaan pencegahan penipuan tersebut mencatat dalam analisis terbarunya. “Layanan ini mengembangkan algoritma pembelajaran mesin yang dilatih pada kumpulan data gambar yang luas.”
Salah satu penggunanya adalah Storm-1152, kelompok kejahatan dunia maya Vietnam yang sebelumnya diidentifikasi oleh Microsoft menjual 750 juta akun dan alat Microsoft palsu melalui jaringan situs web palsu dan halaman media sosial kepada pelaku kriminal lainnya.
“Greasy Opal telah membangun konglomerat bisnis yang berkembang pesat dengan berbagai bidang usaha, yang tidak hanya menawarkan layanan penyelesaian CAPTCHA tetapi juga perangkat lunak peningkatan SEO dan layanan otomatisasi media sosial yang sering digunakan untuk spam, yang dapat menjadi cikal bakal pengiriman malware,” kata Arkose Labs.
“Kelompok pelaku ancaman ini mencerminkan tren peningkatan bisnis yang beroperasi di zona abu-abu, sementara produk dan layanannya telah digunakan untuk aktivitas ilegal di hilir.”