Cyberthreat.id – Ada gelombang baru email phishing (email berbahaya) “BazarCall” yang dilakukan oleh penjahat siber belum lama ini. Email ini membawa malware “BazarLoader” yang sering dipakai geng peretas malware TrickBot.

Peneliti keamanan siber Proofpoint asal AS mendeteksi distribusi BazarCall yang membawa BazarLoader awal Mei lalu—menjuluki aktivitas baru ini dengan BazaFlix.

BazarCall dikenal sebagai metode phishing baru yang termonitor sejak 2020. Operator serangan mengarahkan agar calon korban menghubungi call center yang disediakan dalam email phishing, lalu diminta mengunduh dokumen—ternyata isinya mengandung malware.

Keberhasilan dari serangan itu bergantung teknik manipulasi psikologis dan interaksi penyerang dengan calon korban. Salah satu yang sering dipakai untuk menipu calon korban yaitu memberitahu akhir masa uji coba sebuah layanan online.

Dalam serangan yang dideteksi Proofpoint, email yang dikirimkan ke calon korban tersebut berpura-pura sebagai notifikasi tagihan kartu pembayaran untuk kelanjutan langganan di sebuah layanan online, demikian dikutip dari BleepingComputer, diakses Minggu (30 Mei 2021).

Menurut Proofpoint, email tersebut berasal dari layanan hiburan streaming. Intinya, “platform” mengabarkan bahwa uji coba/demo sebentar lagi kedaluwarsa, sehingga kartu pembayaran pengguna akan dikenai tagihan paket premium.

Dalam email itu, penyerang mencantumkan nomor telepon (call center) yang bisa dihubungi calon korban jika ingin membatalkan langganan. Namun, kata peneliti, justru calon korban diarahkan oleh “petugas call center” untuk mengunjungi situs web layanan streaming dan TV bernama “BravoMovies” yang disediakan oleh perusahaan UrbanCinema.

Proofpoint mengatakan, situs web tersebut cukup meyakinkan dan terlihat realistis, menggunakan poster film dari berbagai sumber publik, "termasuk biro iklan, jaringan sosial kreatif Behance, dan buku" How to Steal a Dog ".

Dengan mengikuti instruksi untuk berhenti berlangganan dari layanan streaming BravosMovies, calon korban diarahkan mengunduh dokumen Excel berbahaya. Jika pengguna mengaktifkan edit (macro) saat membuka dokumen, maka otomatis BazarLoader terinstal di komputer.

Meskipun malware digunakan untuk mengunduh dan mengeksekusi file berbahaya lainnya, para peneliti mengatakan bahwa mereka tidak mengamati muatan tahap kedua untuk serangan kali ini.

Hubungan dengan TrickBot

BazarLoader muncul pada April 2020. Karena kesamaan kode dan infrastruktur yang digunakan, BazarLoader diyakini memiliki pengembang yang sama dengan malware TrickBot.

Geng TrickBot terkenal karena mendistribusikan ransomware Ryuk dan Conti dan BazarLoader adalah alat lain untuk menghindari penggunaan trojan yang sangat terdeteksi.

Metode BazarCall mulai digunakan pada akhir Januari 2021 dan berlanjut hingga akhir Maret lalu. Meski tekniknya sama, penjahat menggunakan berbagai tema untuk menjebak calon korban.

Distribusi email sebelumnya berkedok perusahaan dalam bisnis farmasi, bunga, pakaian dalam, medis, atau antivirus.

Meski BazarLoader dan TrickBot diyakini dibuat oleh grup yang sama, call center yang mereka sediakan dapat dioperasikan oleh geng berbeda yang menyewanya untuk distribusi malware.[]

Redaktur: Andi Nugroho