Layanan pengarah lalu lintas ke situs phising berfungsi membantu penjahat dunia maya mengarahkan pengguna internet ke situs-situs jebakan yang berbahaya.
Seperti sebuah kasus dari Traffic Distribution System (TDS) yang sebelumnya tidak diketahui bernama VexTrio telah aktif setidaknya sejak tahun 2017.
Layanan pengarah lalu lintas ke situs phising ini membantu 60 afiliasi dalam operasi kejahatan siber mereka melalui jaringan besar yang terdiri dari 70.000 situs.
Layanan Pengarah Lalu Lintas ke Situs Phising
Traffic Distribution System (TDS) adalah layanan yang mengambil lalu lintas masuk dan mengarahkan pengguna ke situs web lain bergantung pada:
- Sistem operasi pengunjung.
- Alamat IP.
- Perangkat.
- Wilayah geografis
- Dan kriteria lainnya.
Untuk alasan yang sah, TDS biasanya digunakan dalam pemasaran afiliasi. Namun, dalam kejahatan dunia maya, mereka mengarahkan pengguna ke tujuan berbahaya seperti halaman phising, perangkat eksploitasi, dan situs penyebar malware.
Salah satu kasus adalah Parrot TDS, yang disoroti dalam sebuah laporan yang menyajikan bukti bahwa operasi tersebut masih aktif dan berkembang.
Laporan terbaru berfokus pada operasi TDS berskala lebih besar bernama VexTrio, yang bekerja dengan kampanye dan operator kejahatan dunia maya terkenal seperti ClearFake dan SocGholish.
Melayani Kejahatan Dunia Maya
VexTrio telah diidentifikasi sebagai entitas yang sangat luas dalam lanskap kejahatan siber, memimpin jaringan besar yang memainkan peran sentral dalam distribusi konten berbahaya.
VexTrio mengendalikan lebih dari 70.000 situs yang disusupi, menjadi sebuah bukti jangkauannya yang lua dan memiliki pengaruh yang kuat.
Memungkinkan platform untuk mendistribusikan konten berbahaya kepada pengunjung di beragam situs web dan layanan.
Biasanya, situs diretas untuk memasukkan skrip pengalihan berbahaya ke dalam HTML situs yang rentan. Dalam kasus lain, pelaku hanya membuat situs web mereka sendiri dan menggunakan taktik blackhat SEO untuk menghasilkan lalu lintas.
Platform ini bertindak sebagai perantara lalu lintas dengan imbalan uang dari kelompok kejahatan dunia maya, mengarahkan pengunjung situs yang berada di bawah kendalinya ke tujuan jahat pelanggan.
VexTrio juga memperluas jangkauannya dengan bermitra dengan setidaknya 60 entitas, atau afiliasi, yang meneruskan lalu lintas dari sumber daya mereka, seperti situs web yang disusupi, ke server TDS VexTrio.
Tercatat bahwa kemitraan ini tampaknya tidak berumur pendek, karena mereka mengamati kasus-kasus yang berlangsung hingga empat tahun, menunjukkan tingkat kepercayaan yang tinggi dan saling menguntungkan.
Salah satu mitra VexTrio adalah ClearFake, operasi malware yang menampilkan petunjuk di situs yang diretas yang memberitahu pengunjung untuk memasang pembaruan browser palsu, yang kemudian memasang malware di perangkat.
ClearFake telah menjadi afiliasi VexTrio selama lima bulan, namun alih-alih meneruskan lalu lintas langsung ke server TDS platform, ClearFake menggunakan layanan Keitaro sebagai titik pengalihan perantara.
Kampanye malware SocGholish juga telah berkolaborasi dengan VexTrio sejak April 2022, juga mengandalkan layanan Keitaro TDS untuk pemantulan titik tengah.
Secara historis, SocGholish digunakan oleh geng ransomware untuk mendapatkan akses awal ke jaringan milik perusahaan.
Keragaman dan kompleksitas rantai serangan, yang melibatkan banyak pelaku ancaman, membuat aktivitas VexTrio sulit dipetakan, dideteksi, dan dimitigasi.
Sumber Pendapatan Beragam
Selain itu, para analis menemukan bahwa VexTrio dan afiliasinya sering menyalahgunakan program rujukan dari platform sah.
Tujuannya adalah untuk menghasilkan pendapatan dengan cara mengarahkan korban ke situs tepercaya melalui tautan afiliasi.
Dengan memadukan operasi mereka dengan layanan yang sah, VexTrio dan afiliasinya mempersulit pengguna dan sistem keamanan untuk mengenali aktivitas jahat mereka.
Laporan menyoroti kampanye VexTrio yang licik dan menipu bernama robot CAPTCHA’, yang digunakan kelompok tersebut dalam upaya menghasilkan rujukan.
Dalam operasi ini, pengguna yang mengunjungi situs yang disusupi akan diarahkan ke apa yang tampak sebagai pengujian CAPTCHA yang sah.
Yang mengelabui pengguna agar mengeklik tombol ‘Izinkan’, sehingga secara tidak sengaja memberikan izin situs web untuk mengirimkan pemberitahuan push melalui browser pengguna.
Kemudian, server VexTrio dapat mengirimkan notifikasi palsu kepada korban kapan saja, menyamar sebagai peringatan sistem, peringatan AV, dan peringatan lain yang tampaknya dapat dipercaya.
VexTrio bahkan memastikan peringatan tersebut dalam bahasa yang benar dengan menggunakan modul JS untuk menyesuaikan bahasa secara dinamis berdasarkan data browser pengguna.
Mengklik pemberitahuan yang menipu dapat mengarahkan korban ke laman lain yang dapat menghasilkan pendapatan rujukan untuk VexTrio.
Saran Mengatasi TDS
Mengingat kompleksitas, ketahanan, dan keragaman aliran pendapatan dan rantai infeksi, VexTrio akan sangat sulit untuk diberantas, meskipun mengidentifikasi dan memetakan situs-situsnya merupakan langkah awal yang baik.
Disarankan agar pengguna mengurangi ancaman tersebut dengan cara sebagai berikut:
- Membatasi penjelajahan mereka hanya ke situs bersertifikasi SSL.
- Memblokir pemberitahuan push di browser mereka.
- Menggunakan alat pemblokiran iklan yang dapat mencegah pemuatan iklan popup.
Demikian informasi mengenai layanan penagarah lau lintas ke situs phising atau Traffic Distribution System (TDS), semoga dapat bermanfaat.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: