Security

Serangan ClickFix Baru Manfaatkan Script Windows App-V untuk Sebarkan Malware

22 hours ago
1 minute read

Sebuah kampanye malware terbaru terdeteksi menggabungkan metode ClickFix, CAPTCHA palsu, dan script Microsoft Application Virtualization (App-V) untuk menyebarkan malware pencuri data (infostealer) Amatera. Teknik ini tergolong berbahaya karena memanfaatkan komponen bawaan Windows yang ditandatangani dan dipercaya, sehingga aktivitas berbahaya lebih sulit terdeteksi.

Apa yang Baru dari Serangan ClickFix Ini?

Menurut laporan peneliti dari BlackPoint Cyber, ini adalah pertama kalinya file App-V script digunakan dalam serangan ClickFix untuk mengantarkan infostealer.

Penyerang memanfaatkan SyncAppvPublishingServer.vbs, script sah milik Microsoft, sebagai living-off-the-land binary (LOLBIN). Script ini dijalankan lewat wscript.exe dan mem-proxy eksekusi PowerShell, membuat aktivitas malware tampak seperti proses Windows normal.

Alur Serangan (Infection Chain) Singkat

  1. CAPTCHA palsu menipu korban agar menyalin & mengeksekusi perintah lewat Windows Run.
  2. Perintah tersebut memanggil script App-V (komponen tepercaya) untuk menjalankan PowerShell.
  3. Loader memastikan eksekusi manual oleh manusia (cek clipboard & urutan eksekusi) untuk menghindari sandbox.
  4. Konfigurasi diambil dari Google Calendar publik (base64).
  5. Payload dieksekusi in-memory via WMI, lalu beralih ke steganografi (payload tersembunyi di gambar PNG di CDN).
  6. Tahap akhir mengeksekusi shellcode yang memuat Amatera infostealer.

Tentang Malware Amatera

  • Diklasifikasikan sebagai infostealer (mencuri data browser & kredensial).
  • Memiliki kode yang tumpang tindih dengan ACR infostealer.
  • Didistribusikan sebagai Malware-as-a-Service (MaaS) dan terus berkembang.
  • Sebelumnya juga dikirim via ClickFix, namun tanpa App-V.

Mengapa Ini Berbahaya?

  • Menggunakan komponen Windows tepercaya → sulit dibedakan dari aktivitas sah.
  • Living-off-the-land mengurangi indikator klasik malware.
  • In-memory execution & steganografi meminimalkan artefak di disk.

Rekomendasi Mitigasi

Peneliti menyarankan langkah-langkah berikut untuk mengurangi risiko:

  • Batasi Windows Run dialog via Group Policy.
  • Hapus/disable App-V jika tidak digunakan.
  • Aktifkan PowerShell logging (Script Block & Module Logging).
  • Pantau koneksi keluar untuk mismatch antara HTTP Host / TLS SNI dan IP tujuan.
  • Edukasi pengguna agar tidak mengeksekusi perintah dari CAPTCHA/halaman tak dikenal.
Tags
22 hours ago
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button