Serangan Phishing Baru: GitHub dan Kode QR ASCII Disalahgunakan

Baru-baru ini, kampanye malware bertema pajak yang menargetkan sektor asuransi dan keuangan telah terdeteksi. Serangan ini menggunakan tautan GitHub dalam pesan email phishing untuk mengelabui sistem keamanan dan mengirimkan Remote Access Trojan (RAT) bernama Remcos. Metode ini tampaknya semakin populer di kalangan pelaku ancaman dunia maya.

Dalam kampanye tersebut, repository GitHub yang sah seperti perangkat lunak pengarsipan pajak open-source, UsTaxes, serta nama-nama besar seperti HMRC dan InlandRevenue digunakan sebagai pengalih perhatian. Menurut peneliti dari Cofense, Jacob Malimban, penggunaan repository tepercaya ini adalah teknik baru yang lebih efektif dibandingkan dengan cara tradisional yang menggunakan repository GitHub yang tidak dikenal atau mencurigakan. Repository yang sah dianggap lebih sulit terdeteksi sebagai ancaman oleh sistem keamanan.

Teknik ini melibatkan penyalahgunaan infrastruktur GitHub untuk mengunggah payload berbahaya. Dalam salah satu variasi yang diungkapkan oleh OALABS Research pada Maret 2024, para pelaku ancaman memanfaatkan fitur GitHub issue di repository terkenal untuk mengunggah malware dan kemudian menutup issue tanpa menyimpannya. Meskipun issue tidak disimpan, payload yang diunggah tetap ada dan dapat diakses melalui tautan yang ditinggalkan, tanpa meninggalkan jejak jelas lainnya.

Cara ini menjadi celah yang sangat rentan karena memungkinkan pelaku mengunggah file berbahaya tanpa terdeteksi oleh mekanisme keamanan GitHub. File berbahaya tersebut dapat diunduh oleh korban yang tertipu melalui tautan phishing, menyebabkan malware yang diunduh mampu bertahan di sistem yang terinfeksi dan mendistribusikan payload tambahan.

Kampanye phishing yang diidentifikasi oleh Cofense menggunakan taktik serupa, namun perbedaannya adalah penyerang memanfaatkan komentar GitHub untuk menyisipkan file berbahaya, yang kemudian komentar tersebut dihapus. Seperti pada kasus sebelumnya, tautan tetap aktif dan didistribusikan melalui email phishing. Teknik ini efektif dalam menghindari mekanisme keamanan karena GitHub adalah domain yang tepercaya dan jarang diblokir oleh layanan keamanan email (SEG).

Ancaman ini semakin serius dengan ditemukannya teknik baru yang digunakan oleh para pelaku phishing, seperti penggunaan kode QR berbasis ASCII dan Unicode serta URL blob untuk mengelabui sistem deteksi. Menurut peneliti keamanan Ashitosh Deshnur dari Barracuda Networks, blob URLs memungkinkan pengembang web bekerja dengan data biner seperti gambar atau file langsung di dalam browser, tanpa perlu mengirim atau mengambil data dari server eksternal. Fitur ini dimanfaatkan oleh pelaku untuk menyembunyikan konten berbahaya dalam URL blob.

Selain itu, laporan baru dari ESET mengungkap bahwa pelaku ancaman di balik alat Telegram Telekopye juga memperluas serangan mereka dari skema penipuan pasar online ke platform pemesanan akomodasi seperti Booking.com dan Airbnb. Serangan ini melonjak tajam pada Juli 2024, di mana akun-akun yang diretas dari hotel atau penyedia akomodasi digunakan untuk menghubungi korban potensial. Pelaku berpura-pura bahwa ada masalah dengan pembayaran pemesanan, kemudian mengarahkan korban untuk mengklik tautan palsu yang meminta informasi keuangan mereka.

Metode serangan ini sangat berbahaya karena memanfaatkan komunikasi yang sah di dalam platform. Para pelaku biasanya menghubungi korban yang baru saja memesan penginapan dan belum membayar atau baru saja melakukan pembayaran. Pesan tersebut dikirimkan melalui saluran komunikasi yang sudah dikenal oleh korban, sehingga lebih sulit dikenali sebagai ancaman.

Para pelaku ancaman ini juga meningkatkan toolkit mereka untuk mempercepat proses penipuan dengan menggunakan halaman phishing otomatis, berkomunikasi dengan korban menggunakan chatbot interaktif, serta melindungi situs phishing dari gangguan oleh kompetitor.

Meskipun operasi Telekopye ini cukup canggih, mereka tidak lepas dari kendala. Pada Desember 2023, otoritas penegak hukum dari Ceko dan Ukraina mengumumkan penangkapan beberapa penjahat siber yang diduga menggunakan bot Telegram untuk melancarkan serangan. Para programmer yang terlibat dalam grup ini bertanggung jawab atas pemeliharaan bot, pembaruan, dan peningkatan alat phishing, serta memastikan anonimitas para pelaku dan memberikan panduan tentang cara menyembunyikan aktivitas kriminal mereka.

Dengan kemajuan teknologi serangan ini, penegakan hukum dan peneliti keamanan perlu terus beradaptasi untuk melawan taktik yang semakin canggih.