Serangan malware ClickFix kini berevolusi dengan taktik yang lebih meyakinkan dan berbahaya. Versi terbaru dari serangan ini dilaporkan menambahkan video tutorial untuk memandu korban melakukan infeksi secara mandiri, penghitung waktu untuk menekan korban agar bertindak cepat, serta kemampuan mendeteksi sistem operasi secara otomatis agar dapat memberikan perintah yang sesuai.
Dalam pola serangan ClickFix, pelaku ancaman memanfaatkan teknik rekayasa sosial untuk menipu pengguna agar menyalin dan menjalankan perintah dari halaman web berbahaya. Umumnya, iming-iming yang digunakan berkaitan dengan proses verifikasi identitas atau solusi masalah perangkat lunak, dengan tujuan agar korban tanpa sadar mengeksekusi kode yang mengunduh serta menjalankan muatan malware — biasanya berupa information stealer.
Jika sebelumnya serangan ini hanya menampilkan instruksi dalam bentuk teks di halaman web, versi terbaru kini menggunakan video tersemat agar terlihat lebih meyakinkan. Peneliti dari Push Security menemukan perubahan signifikan ini dalam kampanye terbaru ClickFix, di mana sebuah halaman palsu menyerupai tantangan verifikasi CAPTCHA dari Cloudflare mampu mendeteksi sistem operasi korban, lalu menampilkan video panduan langkah demi langkah untuk menyalin dan menjalankan perintah berbahaya.
Melalui skrip JavaScript, pelaku dapat menyembunyikan perintah sekaligus menyalinnya otomatis ke clipboard korban, mengurangi potensi kesalahan manusia. Di jendela yang sama, ditampilkan pula penghitung waktu berdurasi satu menit yang memberikan tekanan agar korban segera bertindak tanpa sempat memeriksa keaslian proses tersebut.
Lebih jauh lagi, halaman tersebut juga menampilkan indikator palsu “pengguna yang telah diverifikasi dalam satu jam terakhir,” sehingga semakin memperkuat ilusi bahwa proses ini adalah bagian dari pemeriksaan bot Cloudflare yang sah.
Meskipun sebelumnya serangan ClickFix telah menyasar berbagai sistem operasi utama seperti Windows, macOS, dan Linux, kemampuan baru untuk menyesuaikan instruksi berdasarkan sistem operasi merupakan perkembangan yang signifikan. Push Security melaporkan bahwa situs berbahaya ini dipromosikan melalui iklan jahat (malvertising) di Google Search.
Pelaku ancaman memanfaatkan celah keamanan pada plugin WordPress yang usang untuk menyusupkan skrip berbahaya, atau membuat situs palsu (vibe-code) dengan teknik SEO poisoning agar tampil di peringkat atas hasil pencarian.
Muatan berbahaya (payload) yang dikirimkan bervariasi tergantung sistem operasi target — termasuk penggunaan file eksekusi MSHTA di Windows, skrip PowerShell, hingga berbagai living-off-the-land binaries. Para peneliti juga memperkirakan bahwa versi ClickFix berikutnya dapat sepenuhnya berjalan di peramban, sehingga berpotensi menghindari deteksi sistem keamanan seperti EDR.
Seiring semakin pintarnya teknik yang digunakan, pengguna diimbau untuk selalu waspada. Eksekusi kode melalui terminal tidak pernah menjadi bagian dari proses verifikasi daring yang sah. Jangan pernah menjalankan perintah yang disalin dari situs web apa pun tanpa memahami sepenuhnya fungsi dan risikonya.