Peneliti keamanan siber meminta perhatian pada kerangka kerja otomatisasi browser gratis yang semakin banyak digunakan oleh pelaku ancaman sebagai bagian dari kampanye serangan mereka.
“Kerangka ini berisi banyak fitur yang kami nilai dapat digunakan untuk mengaktifkan aktivitas jahat,” kata peneliti dari Tim Cymru dalam laporan baru yang diterbitkan Rabu.
“Bilah entri teknis untuk kerangka kerja sengaja dibuat rendah, yang telah berfungsi untuk menciptakan komunitas pengembang dan kontributor konten yang aktif, dengan aktor dalam ekonomi bawah tanah mengiklankan waktu mereka untuk pembuatan alat yang dipesan lebih dahulu.”
Perusahaan keamanan siber AS mengatakan telah mengamati alamat IP command-and-control (C2) yang terkait dengan malware seperti Bumblebee, BlackGuard, dan RedLine Stealer membuat koneksi ke subdomain unduhan Bablosoft (“downloads.bablosoft[.]com”), pembuat Browser Automation Studio (BAS).
Bablosoft sebelumnya didokumentasikan oleh perusahaan keamanan cloud dan pengiriman aplikasi F5 pada Februari 2021, menunjuk pada kemampuan kerangka kerja untuk mengotomatiskan tugas di browser Google Chrome dengan cara yang mirip dengan alat pengembang yang sah seperti Puppiteer dan Selenium.
Telemetri ancaman untuk alamat IP subdomain — 46.101.13[.]144 — menunjukkan bahwa sebagian besar aktivitas berasal dari lokasi di Rusia dan Ukraina, dengan intelijen sumber terbuka menunjukkan bahwa pemilik Bablosoft diduga berbasis di ibu kota Ukraina, Kyiv.
Diduga bahwa operator kampanye malware terhubung ke subdomain Bablosoft untuk tujuan mengunduh alat tambahan untuk digunakan sebagai bagian dari aktivitas pasca-eksploitasi.
Juga diidentifikasi beberapa host yang terkait dengan malware cryptojacking seperti XMRig dan Tofsee yang berkomunikasi dengan subdomain kedua bernama “fingerprints.bablosoft[.]com” untuk menggunakan layanan yang membantu malware penambangan menyembunyikan perilakunya.
“Berdasarkan jumlah pelaku yang sudah menggunakan alat yang ditawarkan di situs Bablosoft, kami hanya bisa berharap melihat BAS menjadi elemen yang lebih umum dari perangkat pelaku ancaman,” kata para peneliti.
