Informasi Berita

Prolific Puma, Sebuah Layanan Pemendekan Tautan yang Tidak Dikenal, Telah Teridentifikasi Sebagai Pusat Kegiatan Cybercrime Melalui Analisis Data DNS

Seseorang yang dikenal sebagai Prolific Puma, yang diidentifikasi oleh para ahli keamanan, telah menyediakan layanan pemendekan tautan kepada penjahat dunia maya selama lebih dari empat tahun tanpa diketahui karena operasi mereka yang bersifat rahasia.

Hanya dalam waktu sebulan, Prolific Puma telah berhasil membuat banyak situs web baru, termasuk banyak yang berada di dalam domain tingkat atas AS (usTLD), untuk membantu dalam penyebaran skema phishing, aktivitas penipuan, dan malware.

Layanan pemendekan tautan yang digunakan oleh cybercrime

Penelitian terbaru mengungkapkan bahwa domain tingkat atas .AS menghosting sejumlah besar domain yang terkait dengan layanan pemendekan tautan berbahaya yang disebut ‘Prolific Puma’, yang secara aktif mempromosikan skema malware dan phishing. Selama tiga tahun terakhir, perusahaan keamanan Infoblox telah memantau layanan ini, yang menggunakan domain pendek dari penyedia yang tidak kooperatif untuk menyembunyikan halaman arahan yang berbahaya.

Dalam waktu satu bulan saja, pelaku ini berhasil menggandakan banyak domain, terutama dalam domain tingkat atas AS (usTLD), yang digunakan untuk mempermudah penyebaran skema phishing, tindakan penipuan, dan perangkat lunak berbahaya.

Sekitar enam bulan yang lalu, Infoblox pertama kali mendeteksi aktivitas Prolific Puma ketika mereka melihat algoritma pembuatan domain digunakan untuk layanan pemendekan URL berbahaya ini. Meskipun demikian, mereka dapat melacak tautan pendek namun sering kali tidak dapat melacak laman landas akhir.

Ketidakkonsistenan yang terlihat pada tautan pendek menunjukkan bahwa beberapa penjahat dunia maya mungkin menggunakan layanan Prolific Puma, dengan pesan teks sebagai metode pengiriman utama.

Prolific Puma telah mendaftarkan sekitar 75.000 nama domain unik sejak April 2022, dengan lonjakan signifikan dalam pendaftaran domain pendek pada awal tahun, dengan sebagian besar berada di usTLD.

Meskipun terdapat pembatasan kebijakan, hampir 2.000 domain yang terkait dengan aktivitas Prolific Puma telah terdaftar secara pribadi dalam usTLD.

Biasanya, domain ini berbentuk alfanumerik dan panjangnya bervariasi, dengan yang paling umum terdiri dari tiga hingga empat karakter. Untuk menghindari deteksi, Prolific Puma menunda aktivasi domain ini.

Selama tiga tahun terakhir, layanan hosting utama yang digunakan adalah NameSilo, yang sering dipilih oleh para pelaku kejahatan dunia maya. Setelah diaktifkan, domain tersebut dipindahkan ke penyedia hosting yang lebih sulit dilacak.

Meskipun Prolific Puma tampaknya hanya menawarkan layanan tautan pendek, belum ada konfirmasi mengenai apakah mereka mengontrol halaman arahan.

Meskipun tidak melakukan iklan aktif di pasar gelap, kelompok operasi Prolific Puma yang besar dan bergerak dinamis, yang tersebar di berbagai registrar, telah memungkinkannya untuk tetap tidak terlacak.

Operasi besar-besaran

Deteksi dan Karakteristik Nama Domain
Untuk meningkatkan kemampuan produk deteksi dan respons DNS Infoblox, baik di cloud maupun lokal, Infoblox telah mengembangkan serangkaian algoritma independen yang komprehensif. Algoritme ini dirancang untuk mengidentifikasi domain yang mencurigakan dan berbahaya, beserta alamat IP terkait dan sumber daya DNS lainnya. Dengan mengumpulkan log kueri DNS pasif (pDNS) dan memanfaatkan sumber data lain, Infoblox melakukan serangkaian analisis pada domain yang baru dikueri, terdaftar, atau dikonfigurasi. Analisis ini secara independen membuat profil domain-domain tersebut, mulai dari menandai domain tersebut sebagai domain yang mencurigakan hingga mengatribusikannya ke pelaku ancaman DNS.

Penemuan Prolific Puma mengikuti jalur umum yang diambil oleh banyak pelaku ancaman DNS yang diidentifikasi dan dilacak secara internal oleh Infoblox. Awalnya, beberapa domain terkait ditandai secara individual sebagai mencurigakan melalui analisis otomatis Infoblox. Pada musim semi tahun 2023, ketika Infoblox memperkenalkan algoritme untuk penemuan RDGA (Registered Domain Generation Algorithm), Infoblox mulai mengidentifikasi domain Prolific Puma dalam cluster. Cluster ini juga ditentukan secara otomatis tetapi menggunakan metode statistik untuk memastikan tingkat keyakinan yang tinggi bahwa domain RDGA didaftarkan oleh pelaku ancaman DNS yang sama. Selanjutnya, algoritma lain mendeteksi perilaku yang tidak biasa dalam resolusi IP dan menghubungkan masing-masing cluster RDGA.

Sejak April 2022, mereka telah mendaftarkan antara 35.000 hingga 75.000 nama domain unik. Gambar di bawah mengilustrasikan registrasi harian nama domain unik menggunakan tiga atau empat label domain panjang. Seperti yang dilaporkan Infoblox baru-baru ini, RDGA semakin menggantikan DGA (Algoritma Pembuatan Domain) tradisional, sehingga menimbulkan tantangan baru bagi para pembela HAM. Teknik ini memungkinkan Prolific Puma mengotomatiskan operasinya untuk skalabilitas. Infoblox mendeteksi ribuan domain baru setiap hari yang dihasilkan oleh RDGA, dan Prolific Puma adalah salah satunya.

Prolific Puma menggunakan NameSilo sebagai pendaftar nama domain mereka dan biasanya menerapkan proses penuaan strategis pada domain mereka sebelum menghosting layanan mereka dengan penyedia anonim. Meskipun tidak memiliki hubungan yang jelas dengan Amerika Serikat, Prolific Puma secara konsisten mengeksploitasi domain tingkat atas AS (usTLD), yang dimaksudkan untuk diperuntukkan bagi warga negara dan organisasi AS. Prolific Puma diketahui mendaftarkan domain baru dan domain yang telah dihapus. Misalnya, domain 3ty[.]us sebelumnya digunakan oleh aktor berbeda untuk kampanye phishing messenger Facebook pada Juni 2022 dan kemudian didaftarkan oleh Prolific Puma setelah tersedia pada Juli 2023.

sumber: Infoblox

Domain Puma yang produktif telah tersebar di 13 TLD. Namun, sejak bulan Mei tahun ini, aktor tersebut telah lebih banyak menggunakan usTLD untuk lebih dari setengah total domain yang mereka buat, dengan rata-rata sekitar 43 domain baru setiap hari.

Sejak pertengahan Oktober, para peneliti telah menemukan hampir 2.000 domain di usTLD yang menunjukkan aktivitas Prolific Puma, meskipun domain-domain tersebut terdaftar dengan perlindungan pendaftaran yang membuat pemiliknya tetap anonim. Dibawah ini adalah Domain yang terdaftar secara pribadi di usTLD.

Penting untuk dicatat bahwa, sesuai dengan kebijakan saat ini, domain .US tidak mengizinkan pendaftaran pribadi, dan pendaftar wajib memberikan informasi yang akurat dan asli.

Selain itu, pendaftar diwajibkan untuk tidak menawarkan layanan pendaftaran domain pribadi kepada mereka yang mendaftarkan nama domain .US.

Domain Puma yang produktif umumnya menunjukkan karakteristik berupa kombinasi huruf dan angka yang tampak acak, dengan berbagai ukuran, meskipun domain tiga atau empat karakter adalah yang paling sering ditemui. Meskipun demikian, tim peneliti berhasil mengidentifikasi domain dengan panjang hingga tujuh karakter. Di bawah ini terdapat domain yang didaftarkan dengan informasi pribadi di usTLD oleh registrar, yang merupakan pelanggaran terhadap kebijakan usTLD.

Selama tiga tahun terakhir, aktor tersebut sebagian besar menggunakan layanan hosting dari NameSilo, sebuah registrar domain internet murah yang dikenal sering dieksploitasi oleh penjahat dunia maya. NameSilo menawarkan API untuk pendaftaran domain massal.

Untuk menghindari pengawasan dan deteksi, Prolific Puma menerapkan strategi untuk menua domainnya dengan membiarkannya tidak aktif atau diparkir selama beberapa minggu. Selama periode ini, aktor memulai sejumlah permintaan DNS untuk membangun reputasi.

Setelah siap untuk aktif digunakan, pelaku memindahkan domain-domain tersebut ke penyedia hosting yang lebih sulit dilacak, dengan membayar menggunakan mata uang kripto Bitcoin untuk mendapatkan server pribadi virtual yang memiliki alamat IP yang eksklusif.

Infoblox mengamati bahwa beberapa domain ini pada akhirnya ditinggalkan, namun data DNS tetap mengarah ke IP khusus.

Para peneliti berspekulasi bahwa Prolific Puma kemungkinan hanya menyediakan layanan tautan pendek dan tidak mengontrol halaman arahan. Namun, mereka tidak menutup kemungkinan bahwa aktor yang sama akan mengawasi keseluruhan operasi.

Contoh bagaimana layanan Prolific Puma digunakan dalam kampanye dengan halaman phishing yang meminta kredensial dan pembayaran

Prolific Puma menjalankan layanan pemendekan tautan untuk berbagai kegiatan seperti phishing, penipuan, dan penyebaran malware. Berikut adalah penjelasan contoh dari salah satu kampanye yang mereka jalankan. Tautan yang disediakan mengarahkan pengguna ke halaman phishing yang dirancang sedemikian rupa sehingga tampak seperti email resmi, diminta untuk memberikan informasi pribadi dan melakukan pembayaran, lalu secara rahasia menginfeksi pengguna dengan plugin malware pada peramban web mereka.

Langkah-langkah teknis antara tautan yang diperpendek dan malware plug-in browser dalam kampanye ini adalah sebagai berikut:

  1. Tautan singkat pertama http://bwkd[.]me/ZFjfA3 mengalihkan ke http://ksaguna[.]com/click.php?key=, yang dengan sendirinya dialihkan ke alamat https://www[.]asdboloa[.]com/ZA/AB_zagopb/?uclick=
    • Situs web terakhir ini adalah pesan Gmail palsu yang memberi tahu pengguna bahwa mereka telah memenangkan kesempatan untuk menguji iPhone 15 baru.
  2. Pengguna diperintahkan untuk mengklik link untuk mengklaim ponselnya di https://www[.]game[.]co[.]za/2023program dan memasukkan informasi pengirimannya. Situs web www[.]game[.]co[.]za adalah retailer diskon di Afrika Selatan yang menggunakan upaya promosi untuk menarik konsumen.
  3. Mengikuti tautan ini dalam kondisi yang tepat akan mengarahkan Anda untuk membayar 18 Rand Afrika Selatan (ZAR) untuk berpartisipasi dalam uji coba.
  4. Dari sana, pengguna disajikan halaman yang mengklaim sebagai pelacakan pos dan meminta mereka untuk menerima notifikasi dari fubsdgd[.]com. Mengklik “terima” memicu pemasangan malware browser yang menggunakan layanan OneSignal untuk mengirimkan pemberitahuan. Meskipun umumnya dikaitkan dengan iklan, menurut pengalaman kami, malware plugin browser biasanya digunakan untuk mengirimkan scam, phishing, dan malware lainnya, bersama dengan iklan.
  5. Terakhir, korban diberikan serangkaian petunjuk yang meminta mereka memverifikasi preferensi pengiriman dan memasukkan informasi pribadi mereka.

Berdasarkan temuan Infoblox, aktor tersebut menahan diri untuk tidak mempromosikan layanan pemendekan tautannya di pasar bawah tanah, namun perusahaan tersebut tetap menjadi yang terbesar dan paling aktif secara dinamis di bidang ini. Dengan mendaftarkan puluhan ribu nama domain di berbagai registrar, mereka secara efektif berhasil menghindari radar.

“Meskipun penyedia keamanan mungkin dapat mengidentifikasi dan memblokir konten akhir, tanpa perspektif yang komprehensif, akan menjadi tantangan untuk sepenuhnya memahami sejauh mana operasi mereka dan menghubungkan domain ke satu pelaku ancaman DNS,” kata Infoblox.

Penemuan Prolific Puma oleh Infoblox dimulai dengan penerapan analisis otomatis, yang awalnya mengungkapkan beberapa domain yang saling terkait. Selanjutnya, pengenalan algoritma yang dirancang untuk penemuan RDGA awal tahun ini memungkinkan identifikasi domain dalam cluster. Algoritme lain memfasilitasi korelasi kluster domain ini, yang pada akhirnya mengaitkannya dengan satu pelaku ancaman DNS.

Dalam laporannya, Infoblox menyediakan serangkaian indikator untuk mengidentifikasi aktivitas Prolific Puma, yang mencakup informasi seperti alamat IP dan domain yang terkait dengan hosting pemendek tautan, pengalihan dan laman landas, serta alamat email yang ditemukan dalam data pendaftaran domain.

Sumber :

https://www.bleepingcomputer.com/news/security/massive-cybercrime-url-shortening-service-uncovered-via-dns-data/

https://circleid.com/posts/20231031-researchers-uncover-massive-underground-link-shortening-service-used-by-malicious-actors

https://www.voxy.co.nz/business/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/2974/

https://blogs.infoblox.com/cyber-threat-intelligence/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/