Australia Peringatkan Serangan ‘ClickFix’ yang Mendistribusikan Malware Vidar Stealer
Pusat Keamanan Siber Australia (ACSC) baru saja mengeluarkan peringatan keras kepada berbagai organisasi mengenai kampanye serangan siber yang sedang berlangsung. Kampanye ini mengandalkan teknik rekayasa sosial tingkat lanjut yang disebut ClickFix untuk mendistribusikan malware pencuri informasi (info-stealer) berbahaya yang dikenal sebagai Vidar Stealer.
Modus Operandi: CAPTCHA Palsu dan WordPress
ClickFix adalah teknik serangan rekayasa sosial yang berfokus pada manipulasi psikologis. Penyerang mengelabui pengguna agar menjalankan perintah berbahaya secara sukarela, biasanya dengan menyamar sebagai peringatan sistem, prompt verifikasi browser, atau pemecahan masalah (troubleshooting).
Dalam kampanye terbaru yang diamati oleh ACSC, penyerang menargetkan pengguna melalui situs web berbasis WordPress yang telah disusupi sebelumnya. Berikut adalah alur serangannya:
- Pengguna mengunjungi situs WordPress yang telah terkompromi.
- Mereka dialihkan ke halaman yang menampilkan prompt verifikasi Cloudflare palsu atau CAPTCHA palsu.
- Alih-alih mengklik gambar, instruksi di layar meminta pengguna untuk menyalin dan menempelkan perintah PowerShell secara manual ke sistem Windows mereka dengan dalih untuk “memverifikasi bahwa Anda bukan robot” atau “memperbaiki masalah tampilan”.
- Jika perintah tersebut dijalankan, sistem pengguna akan melewati kontrol keamanan bawaan dan langsung mengunduh payload Vidar Stealer.
Mengenal Ancaman Vidar Stealer
Vidar Stealer adalah operasi Malware-as-a-Service (MaaS) yang pertama kali muncul pada akhir 2018. Malware ini sangat populer di kalangan penjahat siber karena efektivitas biaya, kemudahan penyebaran, dan kemampuan pencurian data yang luas.
Target utamanya meliputi:
- Kata sandi yang tersimpan di peramban (browser).
- Cookies sesi (session cookies).
- Dompet mata uang kripto (cryptocurrency wallets).
- Informasi pengisian otomatis (autofill data).
Taktik Penghindaran (Evasion Tactics): ACSC mencatat bahwa Vidar sangat licin. Setelah berhasil diluncurkan, malware ini akan menghapus file eksekusinya (executable) sendiri dari perangkat dan hanya beroperasi melalui memori sistem (RAM). Hal ini secara drastis mengurangi jejak artefak forensik, membuatnya sulit dideteksi oleh perangkat lunak antivirus tradisional.
Selain itu, untuk berkomunikasi dengan server Command-and-Control (C2), Vidar menggunakan taktik URL “dead-drop”. Mereka menyembunyikan alamat server C2 mereka di layanan publik yang sah, seperti profil Steam atau deskripsi bot Telegram, sehingga lalu lintas jaringan terlihat wajar.
Langkah Mitigasi dan Pencegahan
Untuk mengurangi risiko dari serangan ClickFix dan infeksi Vidar Stealer, ACSC merekomendasikan sejumlah langkah pengamanan dasar:
- Untuk Pengguna dan Organisasi: Batasi eksekusi PowerShell secara ketat di lingkungan perusahaan dan terapkan kebijakan allow-listing (daftar putih) aplikasi untuk mencegah jalannya skrip yang tidak dikenal. Edukasi pengguna untuk tidak pernah menempelkan (paste) skrip perintah apa pun dari internet ke Terminal atau PowerShell.
- Untuk Administrator WordPress: Terapkan pembaruan keamanan terbaru untuk tema (themes) dan plugin, serta segera hapus tema atau plugin yang tidak lagi digunakan untuk menutup celah kerentanan.
Sumber: ACSC
