New ClickFix Attack Gunakan nslookup dan DNS untuk Kirim Payload PowerShell
Metode ClickFix kembali berevolusi. Dalam kampanye terbaru yang diamati oleh Microsoft, threat actor kini menyalahgunakan DNS query melalui perintah nslookup untuk mengambil payload PowerShell berbahaya — menjadikannya salah satu varian pertama yang memanfaatkan DNS sebagai channel distribusi malware dalam serangan ClickFix.
Biasanya, ClickFix memancing korban menjalankan perintah PowerShell atau shell untuk “memperbaiki error” atau “mengaktifkan fitur tertentu.” Namun kali ini, DNS dijadikan media pengiriman payload tahap kedua.
Bagaimana Serangan Ini Bekerja?
Korban diarahkan untuk membuka Windows Run dialog (Win + R) dan menjalankan perintah tertentu.
Perintah tersebut:
- Menjalankan
nslookup - Mengirim query ke DNS server milik attacker (84[.]21.189[.]20)
- Mengambil field
NAME:dari response DNS - Mengeksekusi hasilnya melalui
cmd.exe
Alih-alih sekadar mengembalikan IP address, server DNS mengirimkan string berisi perintah PowerShell berbahaya yang kemudian dijalankan langsung di sistem korban.
Dengan teknik ini, payload tidak diunduh lewat HTTP seperti biasanya, tetapi dikirim lewat response DNS.
Payload yang Dikirim
Setelah PowerShell tahap kedua dijalankan, sistem akan:
- Mengunduh file ZIP dari infrastruktur attacker
- Berisi runtime Python dan skrip berbahaya
- Melakukan reconnaissance terhadap sistem dan domain
Kemudian serangan membuat persistence dengan:
- Membuat file:
%APPDATA%\WPy64-31401\python\script.vbs - Membuat shortcut:
%STARTUP%\MonitoringService.lnk
Payload akhir yang diinstal adalah ModeloRAT, sebuah Remote Access Trojan (RAT) yang memberi akses penuh kepada attacker terhadap sistem korban.
Kenapa DNS Dipakai?
Penggunaan DNS memberikan beberapa keuntungan bagi attacker:
- Lalu lintas DNS terlihat normal di banyak jaringan
- Lebih sulit dideteksi dibanding HTTP download langsung
- Payload bisa diubah secara dinamis dari server DNS
- Menghindari sebagian filtering berbasis web proxy
Microsoft menyebut ini sebagai teknik evasion baru dalam ekosistem ClickFix.
Evolusi ClickFix yang Semakin Agresif
Dalam satu tahun terakhir, teknik ClickFix berkembang pesat:
- Awalnya hanya menyuruh korban menjalankan PowerShell
- Lalu muncul varian seperti ConsentFix yang menyalahgunakan Azure CLI OAuth untuk bypass MFA
- Disalahgunakan lewat ChatGPT, Grok, dan Claude artifact pages
- Bahkan ada varian yang menyuruh korban menjalankan JavaScript di browser untuk membajak transaksi crypto
Kini, DNS menjadi media distribusi terbaru.
Cara Melindungi Diri
Untuk user dan admin:
Jangan Pernah:
- Menjalankan perintah
nslookup, PowerShell, atau cmd dari instruksi website - Mengetik
javascript:di address bar browser - Menjalankan command yang tidak dipahami sepenuhnya
Untuk Admin IT:
- Monitor anomali DNS query ke IP publik tidak dikenal
- Gunakan DNS logging dan threat intelligence feed
- Batasi eksekusi PowerShell via policy (jika memungkinkan)
- Aktifkan endpoint protection dengan script monitoring
Kesimpulan
Serangan ClickFix kini semakin kreatif dan teknis. Menggunakan DNS sebagai media pengiriman payload menunjukkan bahwa attacker terus mencari cara baru untuk menghindari deteksi.
Teknik ini bukan eksploitasi otomatis, tetapi bergantung pada rekayasa sosial — korban harus menjalankan perintah secara manual.
Dan seperti biasa dalam ClickFix:
👉 Jika sebuah website menyuruh Anda menjalankan command di sistem… hampir pasti itu serangan.
