Komentar Pastebin Sebarkan Serangan ClickFix JavaScript untuk Bajak Transaksi Bitcoin
Aktor ancaman kini memanfaatkan komentar di Pastebin untuk menyebarkan varian baru serangan ClickFix yang menargetkan pengguna kripto. Alih-alih memasang malware di sistem operasi, kampanye ini menipu korban agar menjalankan kode JavaScript langsung di browser mereka โ sehingga transaksi Bitcoin bisa dibajak dan dana dialihkan ke dompet milik penyerang.
Serangan ini menjanjikan keuntungan arbitrase besar melalui eksploitasi palsu di Swapzone.io, namun sebenarnya memodifikasi proses swap secara langsung di dalam sesi browser korban.
Promosi Lewat Komentar Pastebin
Kampanye yang ditemukan oleh BleepingComputer ini bekerja dengan cara:
- Menyusuri berbagai postingan di Pastebin
- Menambahkan komentar berisi klaim โleaked exploit documentationโ
- Menyertakan tautan ke domain rawtext[.]host
Komentar tersebut mengklaim pengguna bisa memperoleh $13.000 dalam 2 hari melalui metode arbitrase palsu antara Swapzone dan ChangeNOW.
Tautan kemudian mengarah ke dokumen Google Docs berjudul:
โSwapzone.io โ ChangeNOW Profit Methodโ
Dokumen tersebut menjelaskan klaim teknis palsu tentang node backend lama yang menghasilkan payout 38% lebih tinggi.
Korban Diminta Jalankan JavaScript di Address Bar
Panduan palsu tersebut menginstruksikan korban untuk:
- Membuka Swapzone.io
- Mengunjungi paste[.]sh untuk menyalin potongan JavaScript
- Kembali ke tab Swapzone
- Mengetik
javascript:di address bar - Menempelkan kode dan menekan Enter
Teknik ini memanfaatkan fitur URI javascript: di browser, yang memungkinkan eksekusi kode JavaScript pada halaman yang sedang dibuka.
Bagaimana Dana Dicuri?
Setelah dijalankan, skrip tersebut:
- Mengunduh payload kedua dari rawtext[.]host
- Menyuntikkan kode obfuscated ke halaman Swapzone
- Mengganti skrip Next.js asli yang menangani proses swap
- Menyisipkan alamat Bitcoin milik penyerang
- Memodifikasi nilai tukar agar terlihat menguntungkan
Karena skrip berjalan di dalam sesi Swapzone yang sah, antarmuka tetap terlihat normal. Namun saat korban menyalin alamat deposit dan mengirim Bitcoin, dana dikirim ke wallet penyerang.
Transaksi Bitcoin bersifat irreversible โ sehingga dana yang dikirim hampir mustahil dipulihkan.
Varian ClickFix yang Lebih Canggih
Serangan ini merupakan evolusi teknik ClickFix, yang sebelumnya biasanya:
- Menginstruksikan korban menjalankan PowerShell
- Menjalankan shell script di OS
- Menginstal malware
Namun dalam kampanye ini, targetnya adalah browser, bukan sistem operasi. Ini kemungkinan menjadi salah satu serangan ClickFix pertama yang secara khusus menggunakan JavaScript untuk memanipulasi halaman web dan mencuri kripto.
Mengapa Ini Berbahaya?
Karena:
- Tidak ada file yang diunduh
- Tidak ada malware tradisional terinstal
- Semua terjadi dalam sesi browser aktif
- Sulit dideteksi oleh antivirus
Korban secara sadar mengeksekusi kode, sehingga teknik ini sangat bergantung pada rekayasa sosial.
Cara Melindungi Diri
Untuk menghindari serangan seperti ini:
- Jangan pernah menjalankan kode JavaScript di address bar
- Hindari klaim โexploit arbitraseโ dengan keuntungan tidak masuk akal
- Jangan percaya dokumentasi โleakedโ yang dibagikan di komentar publik
- Gunakan hardware wallet untuk transaksi besar
- Periksa alamat wallet tujuan sebelum mengirim kripto
Jika sudah terlanjur menjalankan kode, segera:
- Logout dari semua sesi kripto
- Reset password exchange
- Periksa aktivitas transaksi
- Amankan wallet lain yang mungkin terhubung
