Aktor ancaman yang dikenal sebagai SideWinder telah menambahkan alat kustom baru ke gudang malware yang digunakan dalam serangan phishing terhadap entitas sektor publik dan swasta Pakistan.
“Tautan phishing dalam email atau pos yang meniru pemberitahuan dan layanan resmi dari lembaga dan organisasi pemerintah di Pakistan adalah vektor serangan utama geng tersebut,” kata perusahaan keamanan siber Group-IB yang bermarkas di Singapura dalam laporan Rabu.
SideWinder, juga dilacak di bawah monikers Hardcore Nationalist, Rattlesnake, Razor Tiger, dan T-APT-04, telah aktif setidaknya sejak 2012 dengan fokus utama di Pakistan dan negara-negara Asia Tengah lainnya seperti Afghanistan, Bangladesh, Nepal, Singapura, dan Srilanka.
Bulan lalu, Kaspersky menghubungkan kelompok ini dengan lebih dari 1.000 serangan dunia maya yang terjadi dalam dua tahun terakhir, sambil menyebut kegigihan dan teknik kebingungan yang canggih.
Modus operandi pelaku ancaman melibatkan penggunaan email spear-phishing untuk mendistribusikan arsip ZIP berbahaya yang berisi file RTF atau LNK, yang mengunduh muatan Aplikasi HTML (HTA) dari server jauh.
Hal ini dicapai dengan menyematkan tautan penipuan yang dirancang untuk meniru pemberitahuan dan layanan yang sah dari lembaga dan organisasi pemerintah di Pakistan, dengan grup tersebut juga menyiapkan situs web serupa yang menyamar sebagai portal pemerintah untuk mengumpulkan kredensial pengguna.
Alat khusus yang diidentifikasi oleh Group-IB, dijuluki SideWinder.AntiBot.Scriptbertindak sebagai sistem arah lalu lintas yang mengalihkan pengguna Pakistan yang mengklik tautan phishing ke domain jahat.
Jika pengguna, yang alamat IP kliennya berbeda dari Pakistan, mengeklik tautan, skrip AntiBot dialihkan ke dokumen asli yang terletak di server yang sah, yang menunjukkan upaya geofence targetnya.
“Script memeriksa lingkungan browser klien dan, berdasarkan beberapa parameter, memutuskan apakah akan mengeluarkan file berbahaya atau mengarahkan ulang ke sumber daya yang sah,” kata para peneliti.
Disebutkan secara khusus adalah tautan phishing yang mengunduh aplikasi VPN bernama Secure VPN (“com.securedata.vpn”) dari toko Google Play resmi dalam upaya untuk meniru aplikasi VPN Aman yang sah (“com.securevpn.securevpn”).
Sementara tujuan pasti dari aplikasi VPN palsu masih belum jelas, ini bukan pertama kalinya SideWinder menyelinap melewati perlindungan Google Play Store untuk menerbitkan aplikasi jahat dengan dalih perangkat lunak utilitas.
Pada Januari 2020, Trend Micro merinci tiga aplikasi berbahaya yang disamarkan sebagai alat fotografi dan pengelola file yang memanfaatkan kelemahan keamanan di Android (CVE-2019-2215) untuk mendapatkan hak akses root serta menyalahgunakan izin layanan aksesibilitas untuk mengumpulkan informasi sensitif.