- 15.500 domain aktif digunakan untuk menyerang investasi palsu berbasis AI
- Cloaking memastikan konten berbahaya hanya terlihat oleh korban yang ditargetkan
- Perangkat lunak pelacakan komersial memungkinkan penjahat siber memperluas operasi tanpa membangun infrastruktur
Cloaking kini jadi salah satu strategi utama dalam infrastruktur kejahatan siber, dengan alat komersial yang marak digunakan dalam operasi ini.
Analisis selama empat bulan oleh Infoblox dan Confiant menemukan sekitar 15.500 domain yang terhubung dengan penempatan tracker berbahaya.
Domain-domain ini mengalirkan trafik dari situs yang telah diretas, pesan spam, saluran media sosial, hingga ekosistem iklan online.
Penjahat memanfaatkan perangkat lunak pelacakan komersial untuk memperbesar skala
Bukan hanya membangun sistem dari nol, banyak penjahat siber yang memilih menggunakan perangkat lunak pelacakan komersial yang sudah ada, yang melakukan penyaringan, pengalihan, dan manajemen kampanye secara masif.
Domain-domain tersebut tidak hanya menjadi tempat penipuan, tetapi juga menyembunyikannya lewat teknik cloaking yang menampilkan konten berbahaya hanya untuk korban yang diincar, sementara untuk pemindai keamanan dan orang lain, mereka akan melihat halaman yang tampak aman.
Cloaking bekerja melalui sistem distribusi trafik yang menyaring pengunjung berdasarkan lokasi, jenis perangkat, dan sumber referral sebelum menentukan konten yang ditampilkan.
Ini memberi kesempatan bagi operator untuk menghindari larangan iklan sekaligus memperhalus audiens yang akhirnya akan melihat konten penipuan tersebut.
Penelitian terbaru mengungkap cloaking sebagai “blok dasar dari kejahatan siber modern,” menunjukkan betapa dalamnya teknik ini telah mengakar dalam operasi mereka.
TechRadar mencatat bahwa teknik ini juga membantu penjahat untuk melindungi infrastruktur mereka, tidak hanya dari pihak berwenang tetapi juga dari kelompok rival yang ingin merebut kampanye.
Skema investasi merupakan bagian terbesar dari aktivitas yang terpantau di domain-domain ini, dengan fokus yang jelas pada narasi bertema AI sebagai daya tarik utama.
Halaman-halaman tersebut sering kali mempromosikan platform trading otomatis dengan istilah seperti “Teknologi Trading AI Cerdas” atau “Solusi Trading Cerdas,” sering kali disertai klaim tentang keuntungan yang konsisten dan tidak realistis.
Dalam beberapa kasus, gambar deepfake dan konten media yang dipalsukan digunakan untuk memperkuat kredibilitas dan menciptakan rasa urgensi.
Alat AI generatif juga dimanfaatkan untuk menciptakan berbagai materi kampanye dalam jumlah besar secara otomatis.
Ini mencakup judul, teks promosi, dan aset visual yang bisa digunakan di berbagai domain dengan variasi minimal.
Hasilnya adalah pipeline konten yang dapat diskalakan, mendukung ekspansi kampanye yang cepat di berbagai bahasa dan wilayah tanpa memerlukan usaha manual yang besar.
Walaupun banyak upaya pelaporan domain dan penangguhan akun oleh para peneliti dan operator tracker, aktivitas ini tetap menunjukkan sedikit tanda untuk melambat.
Operator terus memutar domain dan menggunakan infrastruktur yang sama dengan sedikit perubahan, memungkinkan kampanye kembali dengan cepat setelah gangguan.
Ribuan domain aktif dalam waktu singkat menunjukkan adanya aktivitas yang berkelanjutan, bukan hanya insiden terisolasi.
Sistem perlindungan endpoint sering kesulitan mendeteksi kampanye ini karena konten yang tersembunyi hanya terungkap setelah syarat tertentu terpenuhi.
Kontrol firewall memberikan perlindungan terbatas ketika trafik diarahkan melalui saluran iklan dan web yang sah.
Usaha penghapusan malware tetap reaktif, karena kerugian biasanya terjadi hanya setelah korban telah terjebak melalui jalur distribusi ini.
Keterbatasan ini membuat pertahanan standar tidak mampu menghentikan serangan ini, dan risiko dari cloaking serta penyalahgunaan tracker tetap tinggi.
