Security

Platform Phishing ‘Bluekit’ Berevolusi, Gunakan Teknik Browser-in-the-Middle Berbasis Library ‘rrweb’

3 hours ago
3 minutes read

Platform Phishing-as-a-Service (PhaaS) populer bernama Bluekit dilaporkan telah meningkatkan intensitas serangannya secara masif. Berdasarkan laporan pemantauan terbaru dari perusahaan perlindungan risiko digital Netcraft, platform berbahaya ini terdeteksi sangat aktif dengan kemunculan sekitar 70 nama hostname baru hanya dalam kurun waktu satu minggu terakhir.

Tidak hanya memperluas infrastruktur servernya, pengembang Bluekit juga menyuntikkan pembaruan arsitektur yang sangat berbahaya, yaitu beralih dari metode tradisional Adversary-in-the-Middle (AitM) ke mekanisme Browser-in-the-Middle (BitM) guna meningkatkan akurasi pencurian data korban.

Menggunakan AI untuk Merancang Email dan Mengincar Layanan Email Populer

Sejak pertama kali didokumentasikan oleh tim peneliti Varonis, Bluekit dikenal sebagai kit phishing modern karena menyediakan asisten AI terintegrasi bagi para “pelanggannya” (aktor siber kriminal). Asisten AI tersebut mendukung berbagai model bahasa raksasa (LLM) terkemuka seperti Llama, GPT-4.1, Claude, Gemini, hingga DeepSeek untuk menyusun teks email phishing secara otomatis agar terlihat sangat meyakinkan dan lolos dari filter spam.

Platform PhaaS ini menyediakan setidaknya 40 templat halaman login palsu siap pakai yang menargetkan penyedia layanan email, komputasi awan, dan dompet kripto global, termasuk:

  • Outlook, Hotmail, Gmail, Yahoo, ProtonMail, dan iCloud.
  • GitHub dan Ledger.

Taktik BitM: Memanfaatkan JavaScript ‘rrweb’ dan Koneksi WebSocket

Perbedaan mendasar antara teknik lama (AitM) dan teknik baru (BitM) yang diadopsi Bluekit terletak pada cara halaman palsu disajikan kepada korban. Pada serangan BitM, Bluekit memanfaatkan sebuah pustaka (library) JavaScript sumber terbuka sah bernama rrweb.

Mekanisme operasional serangan ini berjalan sebagai berikut:

  1. Pemuatan di Browser Peretas: Ketika korban mengklik tautan phishing, infrastruktur Bluekit akan membuka halaman login yang sepenuhnya asli dan sah (misalnya halaman login resmi Microsoft atau Google) di dalam peramban (browser) terisolasi yang dikendalikan oleh peretas di server mereka.
  2. Upan Balik via WebSocket: Menggunakan library rrweb, struktur kode DOM (Document Object Model) dari halaman asli tersebut diserialisasikan (diubah menjadi aliran data ringan) lalu dialirkan (streaming) secara real-time ke layar peramban komputer korban melalui koneksi WebSocket.
  3. Interaksi Nativ Tanpa Cacat: Korban akan melihat halaman login yang 100% identik tanpa cacat kompresi gambar atau penurunan frame rate, karena peramban mereka merender ulang struktur DOM asli tersebut secara lokal. Seluruh aset visual seperti gambar, font, dan file CSS tetap ditarik secara proksi melalui server phishing.
  4. Pembajakan Sesi: Setiap gerakan mouse dan ketukan keyboard yang dilakukan korban di atas formulir palsu tersebut akan langsung diteruskan kembali ke peramban peretas. Begitu proses otentikasi selesai (termasuk verifikasi MFA), peretas akan langsung mendapatkan token sesi (session token) yang valid, memberikan mereka akses tanpa batas ke akun korban secara instan.

Pihak Netcraft mengingatkan bahwa rrweb sebenarnya merupakan alat analisis sah yang umum digunakan developer untuk fitur session replay (perekaman sesi pengguna demi perbaikan bug web). Oleh karena itu, kehadiran skrip rrweb tidak bisa langsung dicap sebagai indikator infeksi malware tanpa adanya konteks keamanan yang lebih luas.

Sistem Penyaringan Korban dan Fitur Anti-Analisis

Guna melindungi operasinya dari deteksi bot pelacak otomatis, perusahaan keamanan, maupun peneliti siber, Bluekit menerapkan sistem kualifikasi korban (victim qualification) yang sangat ketat melalui serangkaian fitur anti-analisis:

  • Randomized CSS Filters: Memanipulasi visual elemen HTML atas dengan nilai filter CSS acak pada setiap pemuatan halaman untuk menggagalkan sistem deteksi otomatis berbasis tangkapan layar (screenshot-based detection).
  • Obfuscated JS Bundle: Menggunakan bundel file JavaScript ter-obfuskasi berukuran besar (di atas 1 MB) yang kodenya dirotasi secara berkala.
  • Custom CAPTCHA: Menampilkan halaman CAPTCHA buatan sendiri yang didesain menyerupai proteksi Cloudflare atau merek yang ditargetkan demi meyakinkan korban.
  • Browser Fingerprinting: Melakukan pemindaian mendalam terhadap perangkat pengunjung, mencakup kapasitas RAM, jumlah inti CPU, resolusi layar, bahasa sistem, deteksi headless browser, hingga pemeriksaan ekstensi anti-fingerprinting.
  • WebRTC IP Mismatch Detection: Memanfaatkan protokol WebRTC untuk mendeteksi ketidaksesuaian alamat IP asli korban dengan IP proksi guna memblokir peneliti yang menggunakan jaringan VPN atau proxy.

Selain itu, sistem pemantauan langsung (live monitoring) dengan interval pembaruan setiap 5 detik yang sempat diungkap Varonis dikonfirmasi masih aktif di dalam panel admin Bluekit. Fitur ini memungkinkan operator phishing memantau pergerakan korban secara real-time sejak mereka terjebak di halaman login hingga aktivitas pasca-login di dalam akun yang berhasil dibajak.

Sebagai langkah mitigasi dini bagi pengguna, meskipun visualisasi halaman BitM ini terlihat tanpa cela, proses pengiriman data balik lewat WebSocket masih menimbulkan sedikit jeda (latency). Oleh karena itu, pengguna diminta waspada apabila merasakan adanya penundaan respon (delay) saat mengetik teks atau mengklik tombol pada halaman-halaman login sensitif.

Sumber: Netcraft Threat Intelligence Report

Tags
3 hours ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button