Platform Pembuat Aplikasi AI ‘Bubble’ Disalahgunakan untuk Curi Kredensial Akun Microsoft
Aktor ancaman kini memiliki taktik baru untuk menghindari deteksi phishing dalam kampanye yang menargetkan akun Microsoft. Mereka dilaporkan menyalahgunakan platform pembuat aplikasi tanpa kode (no-code) berbasis AI, Bubble, untuk menghasilkan dan meng-host aplikasi web berbahaya.
Karena aplikasi web jebakan tersebut di-host pada platform yang sah, solusi keamanan email tidak menandai tautan tersebut sebagai potensi ancaman. Celah inilah yang memungkinkan peretas untuk dengan mudah menyelinap masuk ke kotak masuk pengguna.
Mekanisme Pengalihan dan Kompleksitas Kode
Para peneliti keamanan dari Kaspersky menjelaskan bahwa aktor ancaman menggunakan metode baru ini untuk mengalihkan (redirect) pengguna ke halaman phishing utama. Halaman ini sering kali didesain menyerupai portal login Microsoft yang sah, dan terkadang disembunyikan di balik pemeriksaan Cloudflare agar terlihat lebih meyakinkan. Setiap kredensial yang dimasukkan pada halaman palsu ini akan langsung disedot oleh peretas, yang kemudian dapat digunakan untuk mengakses email, kalender, dan data sensitif lainnya di ekosistem Microsoft 365.
Bubble sendiri merupakan platform bertenaga AI di mana pengguna cukup mendeskripsikan aplikasi yang ingin mereka bangun, lalu platform akan secara otomatis menghasilkan logika backend dan frontend. Aplikasi yang dihasilkan kemudian di-host pada infrastruktur Bubble di bawah domain *.bubble.io—sebuah domain tepercaya yang sangat kecil kemungkinannya memicu peringatan keamanan.
Aktor phishing memanfaatkan hal ini dengan membuat aplikasi Bubble yang berisi bundel JavaScript berskala besar dan struktur Shadow DOM yang berat. Struktur rumit ini tidak ditandai sebagai skrip pengalihan atau diklasifikasikan sebagai malware oleh alat analisis otomatis maupun statis.
“Kode yang dihasilkan oleh platform no-code ini adalah campuran masif dari JavaScript dan struktur Shadow DOM (Document Object Model) yang terisolasi,” urai pihak Kaspersky. “Bahkan bagi seorang ahli, sulit untuk memahami apa yang terjadi pada pandangan pertama. Algoritma analisis web-kode otomatis bahkan lebih rentan untuk tersandung, dan sering kali mencapai vonis bahwa ini hanyalah situs fungsional yang berguna.”
Ancaman PhaaS dan Tanggapan Bubble
Para peneliti memperingatkan bahwa taktik menyalahgunakan pembuat aplikasi bertenaga AI ini kemungkinan besar akan segera diadopsi oleh platform Phishing-as-a-Service (PhaaS) dan diintegrasikan ke dalam kit phishing yang banyak digunakan oleh penjahat siber tingkat bawah. Integrasi ini akan semakin meningkatkan kemampuan siluman (stealth) dari serangan phishing modern, melengkapi fitur yang sudah ada seperti pencurian cookie sesi, mekanisme bypass 2FA (AiTM), hingga konten email buatan AI.
Menanggapi temuan ini, pada tanggal 2 April, seorang juru bicara Bubble memberikan pernyataan resminya.
“Kami menyadari adanya laporan bahwa aktor jahat telah mencoba menyalahgunakan aplikasi yang di-host di Bubble sebagai bagian dari kampanye phishing. Platform Bubble tidak diretas, dan tidak ada infrastruktur yang dikompromikan,” tegas perwakilan Bubble. “Ini adalah kasus penjahat siber yang mengeksploitasi platform yang sah, sebuah teknik yang biasa digunakan terhadap banyak layanan besar. Kami memiliki perlindungan proaktif untuk mencegah dan menangani penyalahgunaan semacam ini, mengambil tindakan cepat ketika pelanggaran ditandai, dan terus berinvestasi dalam pelindungan untuk komunitas kami.”
