Security

Serangan FileFix Baru Gunakan Teknik Cache Smuggling untuk Hindari Deteksi Antivirus

4 days ago
2 minutes read

8 Oktober 2025 — Peneliti keamanan menemukan varian baru serangan FileFix yang memanfaatkan teknik cache smuggling untuk secara diam-diam mengunduh arsip ZIP berisi malware ke sistem korban — tanpa terdeteksi oleh perangkat keamanan.

Serangan ini menyamar sebagai “Fortinet VPN Compliance Checker”, menurut laporan dari peneliti P4nd3m1cb0y dan analisis lanjutan oleh Marcus Hutchins (Expel Security).

🎭 Modus Baru: Dari ClickFix ke FileFix

Serangan FileFix merupakan evolusi dari teknik ClickFix yang dikembangkan oleh Mr.d0x.
Jika ClickFix memancing korban untuk menyalin perintah berbahaya ke dialog sistem (seperti Run atau Terminal), FileFix justru menyalahgunakan kolom alamat di File Explorer Windows untuk menjalankan skrip PowerShell tersembunyi.

Dalam varian terbaru, situs phishing menampilkan pop-up palsu bertuliskan Fortinet VPN Compliance Checker dan meminta pengguna menyalin path jaringan berikut:

\\Public\Support\VPN\ForticlientCompliance.exe

Namun, teks tersebut sebenarnya berisi perintah PowerShell tersembunyi yang disamarkan dengan 139 spasi di bagian belakang, agar pengguna hanya melihat path normal di File Explorer.

Ketika pengguna menekan Enter, perintah PowerShell berjalan secara diam-diam melalui conhost.exe, tanpa jendela terlihat di layar.

🧠 Bagaimana Cache Smuggling Bekerja

PowerShell kemudian membuat folder:

%LOCALAPPDATA%\FortiClient\compliance

dan menyalin file cache Chrome dari direktori:

%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\

Skrip tersebut mencari pola data tersembunyi di antara string “bTgQcBpv” dan “mX6o0lBw” — yang ternyata adalah arsip ZIP berisi malware.
File ini diekstraksi sebagai ComplianceChecker.zip, lalu dijalankan untuk mengeksekusi FortiClientComplianceChecker.exe palsu yang berisi kode berbahaya.

Triknya: file berbahaya itu sudah tersimpan di cache Chrome sebelumnya — disamarkan sebagai file gambar (image/jpeg) melalui JavaScript pada situs phishing.
Karena browser percaya itu gambar asli, file disimpan otomatis tanpa peringatan, lalu dieksekusi oleh PowerShell tanpa perlu mengunduh ulang.

“Teknik cache smuggling memungkinkan malware melewati banyak lapisan keamanan,” jelas Marcus Hutchins.
“Tidak ada file yang diunduh langsung, jadi antivirus atau deteksi berbasis jaringan tidak menangkapnya.”

🧰 Ekosistem ClickFix Meluas

Selain FileFix, peneliti dari Palo Alto Unit 42 menemukan kit pembuat serangan baru bernama IUAM ClickFix Generator, yang memungkinkan pelaku ancaman membuat halaman phishing bergaya ClickFix secara otomatis.

Antarmuka kit ini memungkinkan pengaturan:

  • Halaman palsu verifikasi (Cloudflare, Microsoft 365, Speedtest, dll)
  • Skema warna dan teks sesuai target
  • Payload clipboard untuk PowerShell (Windows) atau perintah Base64 (macOS)

Serangan semacam ini digunakan untuk menyebarkan malware pencuri data seperti DeerStealer dan Odyssey, serta sejumlah payload Windows lain.

🧩 Tips Pencegahan

  • Jangan pernah menyalin teks atau perintah dari situs web ke Command Prompt, Run, atau File Explorer.
  • Aktifkan proteksi real-time browser dan PowerShell script blocking di endpoint.
  • Pantau aktivitas cache browser, terutama jika ada file dengan ekstensi tidak lazim dalam direktori cache.
  • Edukasi pengguna tentang serangan berbasis social engineering yang mengandalkan kepercayaan visual (seperti logo resmi Fortinet atau Cloudflare).

Sumber: Expel, Palo Alto Unit 42, BleepingComputer

Tags
4 days ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button