 |
| cover |
"Meskipun masih ada pertanyaan setelah publikasi awal kami tentang Muddling Meerkat, kami berbagi apa yang kami ketahui dan menghubungi komunitas yang lebih luas untuk mendapatkan komentar tambahan. Masukan yang diterima mencakup laporan pemberitahuan penyalahgunaan yang mendalam yang disebabkan oleh distribusi spam berskala besar, yang mengarah ke IP Sumber China, dan Infoblox memiliki beberapa domain yang disalahgunakan," ungkap laporan Infoblox, dikutip Senin (13/1/2025).
Infoblox Threat Intel memulai perburuan dengan menghubungkan log server nama otoritatif DNS sendiri dengan data yang dikumpulkan dari perangkap spam. Dengan beralih bolak-balik di antara semua data, bermaksud mempelajari lebih lanjut tentang luasnya operasi malspam Muddling Meerkat. Hal ini menghasilkan wawasan tambahan tentang penggunaan malspam yang dilakukan oleh pelaku yang terkait dengan Tiongkok.
"Kelompok malspam terbesar berkembang di seputar kampanye phishing yang menargetkan penduduk Tiongkok Raya. Kampanye ini memalsukan domain lama dan mendistribusikan lampiran yang berisi kode QR yang mengarah ke situs phishing. Para penyerang menggunakan metode dua langkah di mana penerima membuka lampiran email terlebih dahulu, lalu menggunakan WhatsApp untuk memindai kode QR," jelasnya.
Metodologi ini mempersulit langkah-langkah keamanan dengan memindahkan interaksi ke aplikasi obrolan terenkripsi, yang tidak terlihat oleh sebagian besar alat keamanan. Pada langkah kedua, pelaku ancaman juga menggunakan algoritma pembuatan domain terdaftar (RDGA) untuk membuat domain acak yang aktif hanya dalam waktu singkat untuk lebih menghindari deteksi.
Persentase spam yang terkumpul cukup besar berasal dari sumber dengan nama host tiga huruf. Dengan mengelompokkannya, Infoblox menemukan operasi malspam yang menargetkan pengguna Jepang. Kampanye ini melibatkan email yang merujuk ke merek-merek populer seperti Electronic Toll Collection (ETC), Sumitomo Mitsui Banking Corporation (SMBC), Amazon, dan Mastercard.
"Email tersebut mendesak pengguna untuk melakukan autentikasi karena masalah keamanan, yang mengarahkan mereka ke sistem distribusi lalu lintas (TDS) dan akhirnya ke halaman login palsu yang mencuri kredensial," terangnya.
Meluas secara global.
 |
| domain yang ditemukan | @infoblox |
Kampanye lain menargetkan pengguna Jepang dengan pesan spam yang terkait dengan MyEtherWallet, dompet kripto yang populer. Pesan-pesan ini menggunakan domain yang mirip dan terkadang menyertakan teks bahasa Jepang, yang meminta pengguna untuk masuk ke akun mereka. Meskipun tautan tersebut tampak sah, tautan tersebut mengarah ke domain palsu yang dibuat oleh pelaku ancaman.
"Penggunaan domain palsu, spoofing domain, dan TDS semuanya menunjukkan bagaimana para pelaku Tiongkok ini menerapkan beragam taktik untuk menghindari sorotan penelitian ancaman dan menghindari deteksi," jelasnya.
Selain itu, Infoblox juga menemukan kampanye yang menggunakan taktik spam terkenal yang menampilkan pemalsuan domain. Salah satu taktik umum melibatkan email pemerasan yang mengklaim bahwa seorang peretas telah mengakses perangkat pengguna dan merekam aktivitas yang memalukan.
"Email ini memalsukan alamat email pengguna, sehingga tampak seolah-olah pengguna mengirim pesan dari akun mereka sendiri. Email tersebut meminta pembayaran dalam Bitcoin untuk menghapus malware, dengan jumlah yang bervariasi di setiap pesan. Meskipun email ini mengejutkan, penipuan ini efektif, karena beberapa dompet Bitcoin yang terkait dengan kampanye ini berisi dana yang signifikan. Kampanye ini, dan kampanye lainnya yang menggunakan domain pengirim palsu, kemungkinan besar berasal dari bot spam yang masih ada, bukan hasil kerja aktor canggih seperti Muddling Meerkat," terangnya.
Penelitian ini mengungkap kampanye spam misterius dan aktif yang menggunakan domain pengirim palsu dan lampiran lembar kerja Excel yang tidak berbahaya tanpa tujuan yang jelas. Email-email ini, yang menggunakan domain palsu seperti yang digunakan oleh Muddling Meerkat, berasal dari perusahaan pengiriman barang Tiongkok.
"Alamat emailnya sangat bervariasi dan menyertakan nama pengguna palsu seperti "Edward.Evelyn" dan "Heidi.Gracie." Kampanye ini diamati setiap dua dari tiga hari pada tahun 2024, dengan baris subjek yang menunjukkan pembaruan tarif pengiriman baru, namun, tidak ada konten berbahaya yang ditemukan dalam berkas-berkas ini," jelasnya.
Namun, menariknya email tersebut juga tidak menyertakan ajakan untuk bertindak dan hanya berisi serangkaian tarif pengiriman barang yang terus diperbarui untuk perusahaan pengiriman barang China. Pemalsuan domain menghilangkan kesan legitimasi, sehingga tidak jelas mengapa perusahaan pengiriman barang atau pelaku jahat mengirim email tersebut.
Teknik serupa terlihat pada spam pribadi, di mana email memberikan nilai reksa dana dari perusahaan investasi India. Pesan-pesan ini, yang ditandai oleh Google Mail sebagai spam yang mencurigakan, juga berisi spreadsheet yang tidak berbahaya dan file PDF. Dalam kasus ini, nama pengguna pengirim adalah mantan kenalan, yang menunjukkan bahwa akun email mereka diretas untuk operasi spam. Namun, nilai pesan-pesan ini bagi pelaku spam masih belum jelas.
"Saat pertama kali menerbitkan Muddling Meerkat pada Maret 2024, kami mengidentifikasi sekitar 20 domain terkait, tetapi kini telah mengonfirmasi beberapa ratus domain lain yang ditemukan dalam perangkap spam. Sayangnya, kami tidak dapat menghubungkannya kembali ke log server nama DNS resmi kami sendiri, sehingga menyisakan misteri tentang pelakunya," bebernya.
Infoblox juga merincikan tidak dapat menentukan apa yang sedang dilakukan Muddling Meerkat, penyelidikan pihaknya berhasil karena mempelajari banyak hal tentang bagaimana pelaku menggunakan domain palsu dalam malspam, yang dapat memberikan informasi tentang cara menghentikannya.
"Bagi peneliti ancaman seperti kami, wawasan tersebut sering kali sama pentingnya dengan mengetahui semua maksud di baliknya," jelasnya.
