Cyberthreat.id – Peneliti keamanan bernama Cyjax mengungkapkan bahwa grup peretas bernama “Fangxiao” telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah gratis.

Dikutip dari Bleeping Computer, domain palsu ini digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk 'pelanggan' yang membeli lalu lintas dari grup.

Dalam laporan resminya, Cyjax mengatakan bahwa Fangxiao merupakan kelompok penjahat siber yang berbasis di di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

“Situs yang dipalsukan seperti Coca-Cola, McDonald's, Knorr, Unilever, Shopee, Emirates, dan lainnya, dengan banyak situs palsu yang menampilkan opsi pelokalan yang luas,” kata Cyjax.

Ia menjelaskan, seringkali korban Fangxiao dialihkan ke situs yang menginfeksi mereka dengan trojan Triada atau malware lainnya. Namun, hubungan antara operator situs ini dan Fangxiao belum terjalin.

Untuk menghasilkan lalu lintas besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari. Bahkan, sejak awal Maret 2022, operator jahat telah menggunakan setidaknya 24.000 domain pendaratan dan survei untuk mempromosikan hadiah palsu mereka kepada para korban.

“Sebagian besar situs ini menggunakan TLD ".top", diikuti oleh ".cn", ".cyou", ".xyz", ".work", dan ".tech". Situs tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix,” kata dia.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu. Domain arahan ini mengarahkan pengunjung ke domain survei dengan pengatur waktu yang menambahkan urgensi untuk membantu menjaga konsentrasi korban dari tanda-tanda penipuan.

Dalam beberapa kasus, penyelesaian survei akan mengarahkan pada pengunduhan aplikasi, yang diminta untuk diluncurkan oleh korban dan tetap terbuka setidaknya selama tiga puluh detik, yang memungkinkan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao. Situs akhir juga meng-host iklan dari ylliX, yang ditandai oleh Google dan Facebook sebagai "mencurigakan" saat mengkliknya menghasilkan rantai pengalihan terpisah.

Jalur pengalihan tergantung pada lokasi pengguna (alamat IP) dan agen pengguna, yang mengarah ke unduhan trojan Triada, Amazon melalui tautan afiliasi, situs kencan palsu, dan penipuan pembayaran mikro SMS.

“Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi App Booster Lite – RAM Booster, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan,” kata Cyjax.

Cyjax mengatakan aplikasi tidak menampilkan fungsionalitas berbahaya, tetapi meminta pengguna untuk menyetujui akses ke izin berisiko, dan melayani jumlah iklan di atas rata-rata melalui popup yang sulit ditutup.  Penyelidikan ini juga menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

Namun, terlepas dari beberapa alamat email yang ditautkan ke forum peretasan seperti OGUsers, tidak ada petunjuk lebih lanjut tentang identitas pelaku ancaman. Saat ini tidak diketahui apakah operasi umpan besar-besaran yang menggunakan banyak situs palsu untuk menarik korban ini terkait dengan tujuan akhir atau apakah Fangxiao hanya berkolaborasi dengan situs-situs tersebut untuk menghasilkan keuntungan.