Analisis 3.000 Payload ClickFix: Ungkap Metode Malware API-Driven Terbaru
ClickFix menjadi salah satu trik social engineering yang semakin berkembang, memanfaatkan metode pengiriman malware yang canggih dan sulit dideteksi. Peneliti keamanan Bert-Jan Pals baru-baru ini melakukan analisis mendalam terhadap sekitar 3.000 payload ClickFix dari kampanye nyata dan menemukan sejumlah inovasi teknik malware yang mengandalkan server API untuk menghasilkan payload secara dinamis dan metode baru yang mampu melewati sistem proteksi Windows seperti AMSI.
ClickFix: Teknik Social Engineering yang Berkembang Pesat
ClickFix bekerja dengan cara sederhana namun efektif. Pengguna yang mengunjungi halaman jebakan akan disuguhi gambar fake CAPTCHA atau pesan error palsu. Di balik layar, skrip JavaScript secara diam-diam menyalin perintah berbahaya ke clipboard pengguna dan menginstruksikan mereka untuk menekan kombinasi tombol, lalu menempelkan perintah tersebut di terminal atau kotak dialog tertentu.
Metode ini mengeksploitasi kepercayaan pengguna dan menghindari deteksi antivirus tradisional karena tidak menggunakan eksploitasi langsung maupun file yang mudah dikenali. Akibatnya, metode ini mengalami lonjakan signifikan. ESET mencatat kenaikan 517% penggunaan ClickFix dari akhir 2024 hingga pertengahan 2025, dan Microsoft melaporkan bahwa teknik ini menjadi 47% dari kasus akses awal yang mereka tangani pada 2025.
Tak heran, teknik ini telah diakui secara resmi dalam database MITRE ATT&CK dengan kode T1204.004.
Payload Dinamis dari Server API
Salah satu temuan utama dari penelitian Pals adalah bagaimana payload malware dihasilkan. Alih-alih payload tetap, ClickFix kini menggunakan server backend yang berfungsi sebagai layanan on-demand. Server ini menerima permintaan, memverifikasi token akses, mencatat identitas pemanggil, dan mengembalikan payload yang dikemas ulang secara acak.
Ketika Pals meminta 100 payload dari satu server, ia mendapatkan 100 varian berbeda yang masing-masing dibungkus menggunakan berbagai metode pengacakan seperti Base64, AES, TripleDES, Rijndael, dan Deflate. Setelah dibuka, semua payload tersebut menjalankan skrip yang sama di memori melalui PowerShell runspace.
Disguise ini bersifat sementara, namun inti malware tetap sama, meskipun Pals memperingatkan bahwa dalam waktu dekat, payload inti juga berpotensi bervariasi antar korban. Selain itu, server ini juga menyesuaikan bahasa dan sistem operasi pengunjung, termasuk versi macOS, sehingga lebih sulit dideteksi dan dihindari.
Fenomena ini menunjukkan bahwa ClickFix tidak hanya alat tunggal, melainkan juga layanan komersial yang disewakan kepada pelaku kejahatan lainnya. ESET bahkan telah menemukan adanya penjualan builder ClickFix siap pakai di pasar gelap.
Metode Baru Lewat Folder Downloads untuk Bypass AMSI
Untuk mengatasi pengawasan clipboard dan sistem proteksi AMSI (Antimalware Scan Interface) Windows, ClickFix juga mengadopsi trik baru. Alih-alih menyalin perintah berbahaya langsung ke clipboard, halaman web sekarang menempelkan perintah orchestrator yang tampak aman, sementara file berbahaya diunduh secara diam-diam ke folder Downloads.
Perintah yang ditempel ke clipboard bertugas memindahkan, mengekstrak, dan menjalankan skrip PowerShell tersembunyi dari file yang diunduh, sehingga kode berbahaya tidak langsung terlihat atau discan oleh AMSI. Contoh perintah yang diamati:
powershell -C "$t=$env:TMP;Move-Item \"$HOME\Downloads\tmp.zip\" \"$t\7947.zip\";tar -xf \"$t\7947.zip\" -C \"$t\";conhost --headless powershell -ExecutionPolicy Bypass -File \"$t\tmp.ps1\" # \"* I am not a robot reCAPTCHA Verification ID:7947 *\""
Selain itu, metode eksekusi juga bergeser. Awalnya, pengguna diarahkan menekan Windows+R dan menjalankan perintah di Run box. Kini, instruksi mengarahkan ke Windows+X lalu Terminal Windows, yang tidak meninggalkan jejak pada registry RunMRU sehingga menyulitkan penyelidikan.
Penggunaan Meluas dan Ancaman Negara
ClickFix bukan hanya alat kriminal biasa. Laporan dari Proofpoint mengaitkan penggunaan ClickFix dengan kelompok yang didukung negara, seperti APT28 (Rusia), MuddyWater (Iran), dan Kimsuky (Korea Utara). Bahkan, Korea Utara mengembangkan varian bernama ClickFake Interview untuk menargetkan pekerja di bidang cryptocurrency.
Teknik ini juga memunculkan varian lain seperti FileFix dan DownloadFix yang menggunakan alat Windows terpercaya lain untuk menyebarkan malware. Sebuah kampanye ClearFake dilaporkan telah menginfeksi hingga 147.521 sistem sejak Agustus 2025, menunjukkan skala serangan yang sangat besar.
Apa yang Harus Diwaspadai Para Defender
Pals menekankan bahwa sinyal utama yang harus diperhatikan bukanlah teks clipboard, melainkan rantai proses yang mencurigakan, seperti explorer.exe atau WindowsTerminal.exe yang menjalankan powershell.exe, cmd.exe, atau msiexec.exe dan langsung melakukan koneksi jaringan.
Menurut data, PowerShell dan CMD masing-masing digunakan dalam sekitar 39% kasus, sementara msiexec sekitar 34%. Oleh karena itu, solusi EDR berbasis perilaku dan aturan kontrol aplikasi yang membatasi program yang dapat memanggil interpreter skrip sangat dianjurkan. Selain itu, edukasi pengguna agar tidak pernah menempelkan perintah yang diperintahkan di-copy ke sistem mereka tetap menjadi garis pertahanan utama.
Metode folder Downloads menambah satu indikator baru yang perlu dipantau: perintah satu baris yang tampak tak berbahaya namun menyentuh folder Downloads dan menjalankan PowerShell secara tersembunyi.
Pals juga mengidentifikasi tiga server payload yang aktif selama penelitian:
- comicstar[.]lat
- babybon[.]cfd
- merkantalolol[.]asia
Koneksi ke server ini bukan bukti infeksi, tapi indikasi bahwa perintah berbahaya mungkin disalin ke clipboard pengguna.
Analisis Redaksi
Menurut pandangan redaksi, penelitian ini menunjukkan betapa adaptif dan tangguhnya teknik ClickFix sebagai metode pengiriman malware yang memanfaatkan interaksi pengguna. Pergeseran dari payload statis ke model layanan on-demand yang menghasilkan payload berbeda tiap kali, serta metode pengelakan AMSI melalui folder Downloads, menandai evolusi strategi yang sulit diprediksi dan dilawan dengan metode tradisional.
Ke depan, tantangan utama bagi pertahanan siber adalah mengembangkan deteksi perilaku yang lebih cerdas dan membangun kesadaran pengguna yang tinggi untuk menolak instruksi tidak jelas. Selain itu, perlu diwaspadai kemungkinan malware inti juga mulai bervariasi antar korban, yang akan memperumit analisis dan mitigasi.
Ini bukan sekadar tren kriminal biasa, melainkan bagian dari perang siber yang semakin intens dan menggunakan teknik canggih. Oleh karena itu, pembaruan keamanan dan edukasi harus menjadi prioritas utama di setiap organisasi dan pengguna individu.
Untuk informasi lebih lengkap dan update terkini, simak laporan lengkapnya langsung di The Hacker News dan berita keamanan siber terpercaya lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0