Hasil 3 teratas pencarian Bing untuk "KakaoTalk" semuanya phishing asal Tiongkok

Hasil 3 teratas pencarian Bing untuk "KakaoTalk" semuanya phishing asal Tiongkok

Saat mencari "KakaoTalk" di Bing, 3 hasil teratas (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) semuanya merupakan phishing. Hasil analisis infrastruktur dan kodenya:

• Pemfilteran: Jika tidak ada Referer+UA, server mengembalikan 500/403 (menghindari akses langsung/pemindai otomatis)
• Infrastruktur Tiongkok: Terdaftar di Tencent/DNSpod, analitik 51.la, og:locale=zh-cn, terhubung ke akun Telegram Tiongkok
• Registrasi: 3 domain didaftarkan berurutan dengan selang 1 detik, berada di subnet /24 yang sama, TLS diterbitkan pada hari yang sama
• Malware: Installer NSIS yang menyamar sebagai .scr → meminta hak administrator → mendekripsi payload dengan DcryptDll.dll → menjatuhkan file ke AppData
• Distribusi: Ketiga domain sama-sama mengalihkan ke URL CDN Cloudflare yang sama (download.i96l6[.]top, Alibaba Cloud)

Sementara itu, situs resmi KakaoTalk yang asli justru terdorong ke posisi ke-4. Karena mesin pencari bawaan Edge adalah Bing, ini menjadi ancaman yang cukup besar bagi pengguna yang tidak mengubah pengaturan

Rincian

Struktur penghindaran deteksinya cukup canggih. Halaman phishing hanya ditampilkan kepada pengguna yang datang melalui hasil mesin pencari, sedangkan akses URL langsung atau pemindai otomatis akan menerima halaman kosong. Akibatnya, layanan analisis publik seperti urlscan.io juga gagal mendeteksinya, dan bahkan ketika pengguna curiga lalu memeriksa URL secara langsung, tidak ada apa pun yang terlihat sehingga kecil kemungkinan berujung pada pelaporan.

Identifikasi penyerang relatif mudah. Di source code terdapat banyak indikator yang mengarah ke asal Tiongkok, seperti kode pelacakan 51.la (analitik web Tiongkok), og:locale=zh-cn, path /wenzhang/ (文章), serta kontak Telegram yang di-hardcode. Registrasi domain menggunakan Tencent/DNSpod, dan CDN melewati Alibaba Cloud.

Tiga domain ini pada dasarnya adalah satu operasi. Registry Domain ID berurutan, pendaftaran dilakukan berbarengan dengan selang 1 detik, memakai subnet /24 yang sama, logika pemfilteran yang sama, dan URL unduhan yang sama. Untuk mendapatkan keragaman SEO, mereka menggunakan struktur template yang hanya mengubah metadata (seo_templates/index/zd/kk_1/2/3/).

Session gating diterapkan pada jalur unduhan. Mengakses halaman /download → cookie PHPSESSID diterbitkan → saat /download.php dipanggil, server melakukan redirect 302 ke CDN eksternal (download.i96l6[.]top). Jika download.php diakses langsung tanpa cookie, server mengembalikan 500.

File yang didistribusikan adalah executable PE dengan ekstensi .scr (screensaver). Ini adalah installer NSIS v3.07 yang menyamar dengan metadata "Kakao Corp. / KakaoTalk Setup". File ini meminta hak administrator, dan di dalamnya dibundel DLL dekripsi runtime (DcryptDll.dll) serta komponen WPS Office (Kingsoft). Metodenya adalah memasang software normal dan payload berbahaya sekaligus untuk mengurangi kecurigaan pengguna.