Dengan payload JavaScript tak terlihat phising ini sulit dideteksi oleh perangkat keamanan sehingga menjadi kekhawatiran baru yang meresahkan publik digital.
Metode pengaburan JavaScript baru yang memanfaatkan karakter Unicode tak terlihat untuk mewakili nilai biner sedang disalahgunakan secara aktif dalam serangan phising baru-baru ini.
Peneliti yang menemukan serangan tersebut melaporkan bahwa serangan itu terjadi pada awal Januari 2025 dan menunjukkan tanda-tanda kecanggihan seperti penggunaan:
- Informasi nonpublik yang dipersonalisasi untuk menargetkan korban.
- Pemeriksaan breakpoint dan timing debugger untuk menghindari deteksi.
- Link pelacakan Postmark yang dibungkus secara rekursif untuk mengaburkan tujuan phising akhir.
Pengembang JavaScript Martin Kleppe pertama kali mengungkapkan teknik pengaburan tersebut pada Oktober 2024, dan adopsi cepatnya dalam serangan aktual menyoroti seberapa cepat penelitian baru menjadi senjata.
Membuat Payload JS “Tak Terlihat”
Teknik pengaburan baru mengeksploitasi karakter Unicode tak terlihat, khususnya Hangul half-width (U+FFA0) dan Hangul full-width (U+3164).
Setiap karakter ASCII dalam muatan JavaScript diubah menjadi representasi biner 8-bit, dan nilai biner (satu dan nol) di dalamnya diganti dengan karakter Hangul yang tidak terlihat.
Kode yang dikaburkan disimpan sebagai properti dalam objek JavaScript, dan karena karakter pengisi Hangul ditampilkan sebagai spasi kosong, muatan dalam skrip tampak kosong, seperti yang ditunjukkan oleh spasi kosong di akhir gambar di bawah ini.
Skrip bootstrap pendek mengambil muatan tersembunyi menggunakan ‘jebakan get()’ Proxy JavaScript. Saat properti tersembunyi diakses, Proxy mengubah karakter pengisi Hangul yang tidak terlihat kembali menjadi biner dan merekonstruksi kode JavaScript asli.
Serangan Sulit Dideteksi
Analis peneliti melaporkan bahwa penyerang menggunakan langkah penyembunyian tambahan selain yang di atas, seperti mengodekan skrip dengan base64 dan menggunakan pemeriksaan anti debugging untuk menghindari analisis.
Serangan tersebut sangat personal, termasuk informasi nonpublik, dan JavaScript awal akan mencoba memanggil breakpoint debugger jika sedang dianalisis, mendeteksi penundaan, lalu membatalkan serangan dengan mengalihkan ke situs web yang tidak berbahaya.
Serangan tersebut sulit dideteksi karena spasi kosong mengurangi kemungkinan pemindai keamanan akan menandainya sebagai berbahaya.
Karena payload hanyalah properti dalam suatu objek, payload dapat disuntikkan ke skrip yang sah tanpa menimbulkan kecurigaan; plus, seluruh proses pengodean mudah diimplementasikan dan tidak memerlukan pengetahuan tingkat lanjut.
Peneliti mengatakan dua domain yang digunakan dalam operasi siber kali ini sebelumnya ditautkan ke kit phising Tycoon 2FA.
Jika demikian, kita mungkin akan melihat metode pengaburan tak terlihat ini diadopsi oleh lebih banyak penyerang di masa mendatang.
Bahaya dari payload JavaScript tak terlihat phising sulit dideteksi tentu meresahkan, tapi selalu ada jalan keluar atas semua masalah. Semoga informasi di atas dapat bermanfaat.
Baca artikel lainnya:
- Penipuan Online Paling Berbahaya
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: