Ringkasan Eksekutif
Dalam beberapa minggu terakhir, terjadi peningkatan serangan phishing yang dilakukan melalui platform perpesanan seperti Telegram. Aplikasi ini menyediakan API bagi pengembang untuk membuat bot dan aplikasi khusus. Sayangnya, API ini juga disalahgunakan oleh aktor ancaman untuk mencuri kredensial.
Rantai Infeksi
Contoh Email Phishing:
- Menampilkan URL phishing:
hxxps[://]www[.]astunet[.]com/wp-plug/imu0nni5/3rhenqt2/
yang tersembunyi di balik tombol “View Document”.
Halaman Phishing:
- Dihosting di layanan Cloudflare R2:
hxxps[://]pub-31a116fb226d4dfaa2004eef764a6bff[.]r2[.]dev/ayo[.]html#
Kode HTML halaman ini memuat skrip JavaScript (dengan jQuery) yang menangani pengiriman data ke bot Telegram.
Fitur Utama dalam Kode Jahat
- BOT_TOKEN: Token bot Telegram untuk mengirim pesan.
- CHAT_ID: ID obrolan tempat pesan dikirim.
- LOGGER_TOKEN / LOGGER_ID: Digunakan oleh bot pelacak tambahan.
- FILE: URL yang dienkode dalam Base64, mengarah ke:
hxxps[://]goldviseinvesmenu[.]com/levels/ll[.]php
Penanganan Formulir Phishing
- Saat pengguna mengklik tombol submit-btn, skrip mencegah pengiriman formulir tradisional.
- Melakukan validasi email dan password (min. 4 karakter).
- Jika lolos validasi, data dikirim ke bot Telegram menggunakan AJAX.
- Jika berhasil, korban diarahkan ke file PDF palsu:
hxxps[://]www[.]docspro[.]nl/wp-content/uploads/2021/12/Docspro-License-Agreement[.]pdf
Fungsi Tambahan:
- handleBase64Data(): Mendekode string Base64.
- GetBrowserandLanguage(): Mengambil informasi browser dan bahasa.
- logVisitorToTelegram(): Mengirim data pengunjung ke bot Telegram.
- getMXRecord(domain): Mengambil catatan MX melalui DNS Google.
- getVisitorIP(): Mengambil IP korban dari
ipinfo.io.
Tujuan Serangan
Script ini mengumpulkan kredensial pengguna (email, password), informasi IP, browser, dan metadata lain, lalu mengirimkannya ke bot Telegram secara diam-diam. Salah satu URL terenkripsi (FILE) kemungkinan digunakan untuk pengiriman data tambahan ke server jahat.
Indikator Kompromi (IoC)
| Komponen | Detail |
|---|---|
| Subjek Email | s***@[redacted] telah membagikan Fin...Statement_[redacted]1325303630.pdf |
| Domain Kompromi | www[.]astunet[.]com |
| Halaman Phishing | hxxps[://]pub-31a116fb226d4dfaa2004eef764a6bff[.]r2[.]dev/ayo[.]html# |
| Domain C2 (kemungkinan) | goldviseinvesmenu[.]com |
| File PDF Palsu (placeholder) | hxxps[://]www[.]docspro[.]nl/.../Docspro-License-Agreement[.]pdf |
| Bot Telegram (C2 channel) | hxxps[://]api[.]telegram[.]org/bot.../sendMessage?chat_id=5616766790 |
Pernyataan Perlindungan:
| Tahap | Deskripsi | Perlindungan |
|---|---|---|
| 1 | Pengintaian – Mengumpulkan alamat email | Diblokir oleh analitik email |
| 2 | Umpan – Kirim email berisi URL berbahaya | Diblokir oleh analitik web |
| 3 | Redirect – Arahkan ke halaman phishing | Diblokir oleh analitik web |
| 6 | Call Home – Komunikasi dengan domain C2 | Diblo |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!