• 18 February 2025

Menutup Celah Jebakan Jebakan Tidak Terduga

Kombinasi Berbahaya Antara Situs Web yang Diretas dan AdTech Berbahaya

Di dunia keamanan siber, kita jarang membahas dari sudut pandang korban. Biasanya, fokus kita ada pada sudut pandang pelaku: taktik, teknik, dan prosedur (TTPs) mereka. Namun, saya memutuskan untuk mencoba berada di posisi korban dan melihat apa yang terjadi setelah mengunjungi situs web yang diretas dan telah dimodifikasi untuk terhubung dengan adtech berbahaya.

Apa Itu Adtech Berbahaya?

Adtech (advertising technology) adalah kumpulan perangkat lunak dan alat yang digunakan untuk mengoptimalkan kampanye digital. Biasanya adtech ini digunakan secara sah, tetapi para pelaku kejahatan siber juga memanfaatkannya dengan cara mengintegrasikannya ke dalam situs yang telah diretas. Integrasi ini menjadi “pengait” bagi pelaku untuk mendapatkan akses ke perangkat pengunjung.

Eksperimen saya menghasilkan temuan yang cukup mengejutkan. Mengunjungi situs web yang terhubung dengan adtech berbahaya dapat memberikan dampak jangka panjang terhadap pengalaman pengguna dengan perangkat mereka.

Bagaimana Cara Kerjanya?

Pelaku mengintegrasikan adtech berbahaya melalui notifikasi situs web, yang sering disebut sebagai push notifications karena dorongan langsung ke perangkat pengguna. Jika pengguna tertipu untuk menerima notifikasi ini, mereka akan mulai menerima pesan menyesatkan seperti peringatan virus palsu. Ketika pengguna mengklik notifikasi tersebut, mereka diarahkan ke konten berbahaya yang memperburuk pengalaman berselancar, bahkan memengaruhi situs dan berita yang sah.

Mengapa Ini Mudah Terjadi?

  • Ada ratusan ribu situs web yang diretas di internet, dan puluhan ribu situs baru diretas setiap harinya.
  • Integrasi adtech hanya membutuhkan satu baris kode yang ditanam di situs yang diretas.
  • Pelaku mendapatkan bagian keuntungan dari iklan yang ditampilkan ke korban setelah mereka meninggalkan situs yang diretas.  (Catatan: “Iklan” dalam konteks ini sebenarnya adalah penipuan atau konten berbahaya, bukan iklan tradisional.)

Eksperimen Saya sebagai Korban  Saya menggunakan ponsel lama milik ibu saya, Google Pixel 2, dengan browser Chrome dan Firefox. Saya mengunjungi domain yang sudah diidentifikasi sebagai situs yang terinfeksi, yakni germannautica[.]com, yang terkait dengan kelompok ancaman VexTrio Viper.

Setelah mengunjungi situs dan menerima notifikasi, saya masuk ke ekosistem yang terus membanjiri saya dengan konten berbahaya. Dampaknya meluas ke layanan resmi seperti newsfeed dan iklan dari Google maupun Taboola, yang ikut terkontaminasi. Bahkan setelah saya membersihkan cache browser, efek ini masih terus berlanjut.

Hasilnya:

  • Saya menerima lebih dari 100 push notifications per hari dari berbagai domain, yang masing-masing mengarahkan saya ke konten berbahaya.
  • Notifikasi ini berisi pesan ancaman, iming-iming hadiah, hingga penawaran palsu. Beberapa di antaranya menyalahgunakan logo merek terkenal.
  • Jenis penipuan yang saya temui:
    • Penipuan antivirus (scareware)
    • Penipuan hadiah/gift card
    • Survei palsu
    • Situs penambangan kripto palsu
    • Aplikasi palsu dan adware
    • Penyebaran malware
    • Disinformasi dan manipulasi konten

Teknik Serangan yang Digunakan:

  1. Saat mengunjungi germannautica[.]com, permintaan DNS TXT dikirim ke server Command and Control (C2) untuk mengumpulkan informasi tentang IP saya.
  2. Server C2 mengembalikan domain baru yang mengarahkan saya ke sistem distribusi lalu lintas (Traffic Distribution System – TDS) milik VexTrio Viper.
  3. Dalam hitungan detik, saya diarahkan beberapa kali hingga akhirnya muncul permintaan untuk mengaktifkan push notifications.
  4. Permintaan ini disamarkan dengan captcha palsu bergambar robot, yang merupakan ciri khas VexTrio Viper.

Dampak yang Saya Rasakan:

  • Berita dan iklan yang saya terima terkontaminasi, bahkan dari penyedia resmi.
  • Sulit membedakan informasi asli dan palsu tanpa riset lebih lanjut.
  • Efeknya berlanjut meskipun saya sudah membersihkan cache dan riwayat browser.

Kesimpulan Awal: Integrasi adtech berbahaya melalui situs yang diretas bukan hanya membuat korban terpapar malware atau penipuan sesaat, tetapi juga menciptakan siklus disinformasi jangka panjang yang sulit dihentikan. Ini memperburuk pengalaman pengguna, mencederai kepercayaan pada platform berita, dan membuka celah lebih besar bagi serangan lanjutan.

Next Step: Di bagian selanjutnya, saya akan membahas lebih dalam tentang bagaimana industri scareware berkembang melalui adtech berbahaya dan bagaimana pengguna bisa melindungi diri dari jebakan ini.

Figure 1Figure 1

Setelah saya menerima notifikasi, sistem Traffic Distribution System (TDS) milik VexTrio Viper kembali mengarahkan saya ke berbagai konten berbahaya, berdasarkan jenis browser dan karakteristik pengguna saya. Karena TDS ini mengarahkan pengguna ke berbagai jenis konten jahat sesuai dengan profil mereka, saya mencoba mengakses situs yang sama beberapa kali dengan mensimulasikan perangkat dan lokasi yang berbeda.

Hasilnya, saya diarahkan ke berbagai jenis penipuan, seperti:

  • Giveaway palsu (undi-undi hadiah fiktif)
  • Situs kencan palsu
  • Aplikasi palsu yang mengandung adware atau malware
  • Peringatan virus palsu (scareware) yang menakut-nakuti pengguna agar mengunduh aplikasi tertentu atau memberikan data pribadi

(Gambar 2 memperlihatkan beberapa contoh konten berbahaya yang saya temui saat mengunjungi situs yang telah dimodifikasi, germannautica[.]com).

 Figure 2Figure 2Figure 2

Bagaimana mungkin satu domain yang sudah dikompromikan bisa menghasilkan begitu banyak halaman arahan (landing pages) berbeda? Ternyata, bukan hanya satu Traffic Distribution System (TDS) yang terlibat, melainkan serangkaian TDS yang mengarahkan lalu lintas (traffic) untuk menghindari deteksi sekaligus memaksimalkan potensi keuntungan dari pengunjung.

Sebagian besar aktivitas ini tidak terlihat oleh pengguna di peramban mereka, namun bisa terdeteksi menggunakan alat pemindaian seperti Urlscan. Jika diperhatikan lebih detail pada contoh rantai pengalihan di Gambar 3, terlihat beberapa petunjuk di URL seperti:

  • Kata “tds” yang merujuk pada sistem distribusi lalu lintas.
  • Variasi istilah seperti “track” yang digunakan untuk melacak koneksi pengguna.
  • “space-robot” yang terkait dengan permintaan notifikasi push.
  • Beragam parameter iklan yang ditanamkan untuk menyesuaikan konten iklan yang ditampilkan.

Dalam beberapa bulan terakhir, kami menemukan bahwa banyak TDS ini bukan dijalankan oleh peretas individu, melainkan dikelola oleh perusahaan adtech ilegal yang beroperasi di bawah bayang-bayang hukum.

Dengan kata lain, peretas situs web hanyalah salah satu pelaku jahat dalam rantai ini—masih ada aktor lain yang lebih besar di balik layar. Namun, kisah tentang perusahaan adtech yang meragukan ini adalah cerita untuk lain waktu.

Figure 3

Dalam hitungan detik, ponsel saya mulai bergetar terus-menerus karena menerima notifikasi seperti yang ditampilkan pada Gambar 4. Setiap kali saya mengklik salah satu notifikasi push tersebut, saya langsung diarahkan ke serangkaian pengalihan lainnya melalui berbagai TDS. Hasil akhirnya selalu sama: konten berbahaya.

Selain itu, hampir setiap kali saya sampai di halaman tujuan, saya diminta kembali untuk mengizinkan notifikasi dari domain baru. Dalam waktu singkat, saya sudah menerima notifikasi dari belasan domain berbeda dan terjerumus semakin dalam ke ‘lubang kelinci’ (rabbit hole) notifikasi push yang tak ada habisnya.

Figure 4Figure 4Figure 4

Dengan mempelajari pola pengalihan tersebut, saya menemukan sebuah ekosistem perusahaan adtech yang saling terafiliasi, di mana masing-masing pihak menyediakan konten berbahaya dan memperoleh keuntungan dari sejumlah domain yang telah dikompromikan. Selama periode 12 minggu, saya telah berlangganan notifikasi dari lebih dari 150 domain berbeda dan menerima hingga 130 notifikasi dalam sehari hanya dari satu domain saja. Saya mengklik ratusan notifikasi push tersebut dan mencatat semua domain yang dituju dari setiap klik. Dari hasil riset ini, tim kami berhasil mengidentifikasi sejumlah perusahaan adtech yang mendapatkan keuntungan dari situs-situs yang telah diretas dan berperan dalam mendistribusikan konten berbahaya kepada pengguna melalui rantai pengalihan dan pencatatan DNS mereka.

Ada beragam cara yang digunakan situs web untuk meminta izin notifikasi push kepada pengguna. Beberapa metode yang sering ditemui antara lain:

  • Memaksa pengguna mengklik “allow” agar bisa melanjutkan mengakses situs.
  • Menampilkan uji captcha palsu.
  • Menampilkan berbagai jendela pop-up secara berulang agar pengguna mengizinkan notifikasi.

Sebagian besar situs ini menggunakan potongan kode yang disematkan atau URL yang terhubung dengan layanan adtech untuk mengatur permintaan notifikasi atas nama mereka.

Hubungi Infoblox Indonesia untuk Informasi lebih lanjut untuk mengetahui kerentanan pada Perusahaan anda