Cyberthreat.id - Otoritas penegak hukum Malaysia mengumumkan penghapusan operasi phishing-as-a-service (PhaaS) yang disebut BulletProofLink. Demikian laporan The Hacker News.

Kepolisian Kerajaan Malaysia mengatakan upaya yang dilakukan dengan bantuan Polisi Federal Australia (AFP) dan Biro Investigasi Federal (FBI) AS pada 6 November 2023 itu didasarkan pada informasi bahwa pelaku ancaman di balik platform tersebut berbasis di luar negeri.

Untuk mencapai tujuan tersebut, delapan orang berusia antara 29 dan 56 tahun, termasuk dalang sindikat tersebut, telah ditangkap di berbagai lokasi. Di antaranya di Sabah, Selangor, Perak, dan Kuala Lumpur, New Straits Times melaporkan.

Bersamaan dengan penangkapan tersebut, pihak berwenang menyita server, komputer, perhiasan, kendaraan, dan dompet mata uang kripto yang berisi sekitar $213,000.

BulletProofLink, juga disebut BulletProftLink, dikenal karena menawarkan template phishing siap pakai dengan basis berlangganan kepada aktor lain untuk melakukan kampanye pengambilan kredensial.

Templat ini meniru halaman login layanan terkenal seperti American Express, Bank of America, DHL, Microsoft, dan Naver.

Menurut analisis dari Microsoft pada bulan September 2021, pelaku BulletProofLink juga terlibat dalam apa yang disebut pencurian ganda, yakni kredensial yang dicuri dikirim ke pelanggan dan pengembang inti, sehingga menghasilkan jalur monetisasi tambahan.

“BulletProftLink dikaitkan dengan aktor ancaman AnthraxBP yang juga dikenal dengan julukan online TheGreenMY dan AnthraxLinkers,” kata perusahaan keamanan siber Intel 471 pekan lalu.

"Aktor tersebut mempertahankan situs web aktif yang mengiklankan layanan phishing. Aktor tersebut memiliki jejak bawah tanah yang luas dan beroperasi di sejumlah forum web bawah tanah yang jelas dan saluran Telegram menggunakan banyak pegangan."

Dipercaya aktif setidaknya sejak tahun 2015, etalase online BulletProftLink diperkirakan memiliki tidak kurang dari 8.138 klien aktif dan 327 templat halaman phishing pada April 2023.

Fitur penting lainnya adalah integrasi kit phishing Evilginx2 untuk memfasilitasi serangan musuh di tengah (AiTM) yang memungkinkan pelaku ancaman mencuri cookie sesi dan melewati perlindungan otentikasi multi-faktor.

“Skema PhaaS seperti BulletProftLink menyediakan bahan bakar untuk serangan lebih lanjut,” kata Intel 471. "Kredensial login yang dicuri adalah salah satu cara utama peretas jahat mendapatkan akses ke organisasi."

Sebagai tanda bahwa pelaku ancaman terus memperbarui taktik dalam menanggapi gangguan dan mengambil pendekatan yang lebih canggih, serangan AiTM juga diamati menggunakan tautan perantara ke dokumen yang dihosting di solusi berbagi file seperti DRACOON yang berisi URL ke infrastruktur yang dikendalikan musuh.

“Metode baru ini dapat melewati mitigasi keamanan email karena tautan awal tampaknya berasal dari sumber yang sah dan tidak ada file yang dikirimkan ke titik akhir korban karena dokumen yang dihosting yang berisi tautan tersebut dapat berinteraksi melalui server berbagi file di dalam browser, " kata TrendMicro.

Perkembangan ini terjadi ketika seorang warga negara Serbia dan Kroasia berusia 33 tahun, Milomir Desnica, mengaku bersalah di AS karena mengoperasikan platform penyelundupan narkoba bernama Pasar Monopoli di web gelap dan berkonspirasi untuk mendistribusikan lebih dari 30 kilogram metamfetamin kepada pelanggan di AS.

Pasar gelap tersebut, yang didirikan oleh Desnica pada tahun 2019, ditutup pada bulan Desember 2021 sebagai bagian dari upaya terkoordinasi dalam kemitraan dengan Jerman dan Finlandia.

Desnica ditangkap di Austria pada November 2022 dan diekstradisi ke AS untuk menghadapi tuduhan perdagangan narkoba pada Juni 2023.[]