Dalam dunia maya, teknik pengelabuan dokumen PDF palsu sebagai senjata baru yang digunakan untuk mengelabui para pengguna internet di seluruh dunia.

Operasi phising yang meluas telah diamati memanfaatkan dokumen PDF palsu yang dihosting di jaringan pengiriman konten (CDN) Webflow dengan tujuan untuk mencuri informasi kartu kredit dan melakukan penipuan keuangan.

Baca juga: Evolusi Serangan Phising

Target Korban

Penyerang menargetkan korban yang mencari dokumen di mesin pencari, yang mengakibatkan akses ke PDF berbahaya yang berisi gambar CAPTCHA yang disematkan dengan tautan phising, yang mengarahkan mereka untuk memberikan informasi sensitif.

Aktivitas tersebut, yang berlangsung sejak paruh kedua tahun 2024, melibatkan pengguna yang mencari judul buku, dokumen, dan bagan di mesin pencari seperti Google untuk mengarahkan pengguna ke file PDF yang dihosting di Webflow CDN.

File PDF ini disematkan dengan gambar yang meniru tantangan CAPTCHA, yang menyebabkan pengguna yang mengkliknya akan dibawa ke halaman phising yang kali ini menghosting CAPTCHA Turnstile Cloudflare yang sebenarnya.

Dengan melakukan hal itu, para penyerang bertujuan untuk memberikan kesan legitimasi pada proses tersebut, mengelabui korban agar berpikir bahwa mereka telah berinteraksi dengan pemeriksaan keamanan, sekaligus menghindari deteksi oleh pemindai statis.

Pengguna yang menyelesaikan tantangan CAPTCHA asli kemudian diarahkan ke halaman yang menyertakan tombol “unduh” untuk mengakses dokumen yang dimaksud. Namun, ketika para korban mencoba menyelesaikan langkah tersebut, mereka akan menerima pesan pop-up yang meminta mereka untuk memasukkan detail pribadi dan kartu kredit mereka.

Baca juga: Metode Serangan Phising DeepFake

Trik CAPTCHA di Webflow

Saat memasukkan detail kartu kredit, penyerang akan mengirimkan pesan kesalahan untuk menunjukkan bahwa itu tidak diterima. Jika korban mengirimkan detail kartu kredit mereka dua atau tiga kali lagi, mereka akan diarahkan ke halaman kesalahan HTTP 500.

Perkembangan ini terjadi saat SlashNext merinci perangkat phising baru bernama Astaroth (jangan disamakan dengan malware perbankan dengan nama yang sama) yang diiklankan di Telegram dan pasar kejahatan dunia maya seharga $2.000 dengan imbalan pembaruan dan teknik pembobolan selama enam bulan.

Seperti penawaran phising-as-a-service (PhaaS) lainnya, perangkat ini memungkinkan penjahat dunia maya untuk mengumpulkan kredensial dan kode autentikasi dua faktor (2FA) melalui halaman login palsu yang meniru layanan online populer.

Astaroth menggunakan proxy terbalik bergaya Evilginx untuk mencegat dan memanipulasi lalu lintas antara korban dan layanan autentikasi yang sah seperti Gmail, Yahoo, dan Microsoft. Bertindak sebagai perantara, perangkat ini menangkap kredensial login, token, dan cookie sesi secara real time, yang secara efektif mem-bypass 2FA.

 

 

Baca artikel lainnya:  Alasan Melakukan Phising Imbas Buruk Phising pada Perusahaan Apa yang Menyebabkan Phising Sulit Diidentifikasi Mitigasi Serangan Phising Layanan Pengarah Lalu Lintas ke Situs Phising Phishing as a Service atau PhaaS Klik Tautan Phising Ini yang Harus Dilakukan Serangan Phising Kredensial 4 Langkah Mitigasi Phising Phising Surat Tilang

 

Sumber berita:

 

Prosperita IT News