Varian terbaru serangan ClickFix kembali muncul dengan pendekatan sosial engineering yang semakin canggih. Peneliti keamanan menemukan bahwa pelaku kini menipu korban menggunakan animasi Windows Update palsu dalam tampilan layar penuh pada browser, sekaligus menyembunyikan kode berbahaya di dalam file gambar melalui teknik steganografi.
ClickFix sendiri merupakan teknik manipulasi di mana korban diyakinkan untuk menyalin dan menjalankan perintah di Command Prompt, yang pada akhirnya mengeksekusi malware di sistem. Serangan ini menjadi populer di berbagai level pelaku kriminal siber berkat efektivitasnya, dan terus berevolusi dengan umpan (lure) yang semakin realistis.
Sejak awal Oktober, peneliti mengamati bahwa pelaku menggunakan dua skenario utama: proses “human verification” dan instalasi pembaruan keamanan Windows yang dibuat seakan-akan mendesak. Halaman palsu tersebut menginstruksikan korban untuk menekan kombinasi tombol tertentu. Ketika dilakukan, perintah berbahaya yang telah disisipkan ke clipboard melalui JavaScript akan ditempel dan dieksekusi secara otomatis.
Teknik Steganografi untuk Menyembunyikan Payload
Laporan dari Huntress mengungkapkan bahwa varian terbaru ClickFix digunakan untuk menyebarkan malware pencuri informasi seperti LummaC2 dan Rhadamanthys. Dalam dua skenario serangan tersebut—baik human verification maupun Windows Update palsu—pelaku menyembunyikan payload utama di dalam file PNG.
Alih-alih menambahkan data berbahaya secara sederhana pada file, kode malware dikodekan langsung ke piksel gambar dan hanya dapat direkonstruksi melalui proses dekripsi khusus di memori. Tahap awal dimulai dengan mshta, sebuah binary bawaan Windows, untuk menjalankan JavaScript berbahaya. Proses selanjutnya melibatkan beberapa tahap PowerShell dan assembly .NET, yang berfungsi sebagai Stego Loader untuk membongkar payload terenkripsi dari gambar PNG.
Di dalam resource manifest Stego Loader, terdapat blob terenkripsi AES berisi PNG steganografis dengan shellcode tersembunyi. Payload ini kemudian direkonstruksi menggunakan kode C# khusus dan dieksekusi di memori. Peneliti juga menemukan taktik penghindaran deteksi berupa mekanisme “ctrampoline,” di mana ribuan fungsi kosong dipanggil secara berurutan untuk mengaburkan analisis.
Shellcode yang memuat infostealer dikemas menggunakan alat Donut, memungkinkan eksekusi VBScript, JScript, EXE, DLL, maupun assembly .NET tanpa perlu menyimpan file di disk.
Varian dan Aktivitas Terkait
Varian Rhadamanthys dengan umpan Windows Update palsu pertama kali diidentifikasi pada Oktober, sebelum operasi penegak hukum “Operation Endgame” menurunkan sebagian infrastruktur botnet tersebut pada 13 November. Meski payload tidak lagi dikirimkan, domain Windows Update palsu masih tetap aktif.
Cara Menghindari Serangan ClickFix
Peneliti keamanan menyarankan beberapa langkah pencegahan:
- Menonaktifkan Windows Run box untuk mengurangi risiko eksekusi perintah berbahaya.
- Memantau rantai proses mencurigakan, seperti explorer.exe yang memicu mshta.exe atau PowerShell.
- Saat menyelidiki insiden, memeriksa registry RunMRU untuk melihat riwayat perintah yang mungkin dimasukkan oleh pengguna.
Serangan ClickFix terus berkembang dengan modus yang semakin sulit dibedakan dari interaksi Windows asli, sehingga kewaspadaan pengguna menjadi faktor pertahanan yang sangat penting.