Serangan siber tipe ClickFix kembali menjadi sorotan. Para peneliti keamanan baru-baru ini menandai berbagai kampanye ClickFix yang kini mengirimkan tiga malware loader baru yang cukup berbahaya.
Baca Juga: Malware NarwhalRAT Disebar via Peringatan Palsu Microsoft
Ketiga loader tersebut—BabaDeda Loader, Lorem Ipsum Loader, dan Potemkin—digunakan untuk menyebarkan pencuri informasi, RAT, dan alat terkait ransomware.
Dilansir dari The Hacker News, kampanye ini memanfaatkan rekayasa sosial untuk mengelabui pengguna agar menjalankan perintah PowerShell berbahaya. Dengan taktik ‘ClickFix’, korban diarahkan untuk menempelkan kode dan menekan Enter, yang langsung menginfeksi perangkat. Teknik ini terus berevolusi, memanfaatkan situs WordPress yang disusupi hingga umpan pembaruan palsu untuk menjangkau lebih banyak korban.
Baca Juga: DOJ Sita CFAKE & SOCFAKE, Situs Deepfake Nude di Bawah UU TAKE IT DOWN
BabaDeda Loader, yang diamati pada April 2026, menargetkan organisasi pendidikan dan keuangan. Loader ini terkait dengan layanan crypter BabaDeda yang pertama kali didokumentasikan oleh Morphisec pada November 2021. Sebelumnya, layanan ini digunakan dalam kampanye yang menargetkan sektor cryptocurrency dan Web3 untuk mendistribusikan pencuri informasi, RAT, dan ransomware LockBit. Menurut peneliti Morphisec, Shmuel Uzan, “Aktivitas BabaDeda sebelumnya dikenal karena menyembunyikan muatan berbahaya di dalam paket penginstal yang tampak sah. Kerangka kerja baru ini mempertahankan kode genetik yang sama tetapi mengembangkannya menjadi loader yang jauh lebih mumpuni yang dibangun untuk penyembunyian, penghindaran, dan fleksibilitas muatan.” Loader ini dirancang untuk memprofilkan host, menghindari berjalan di sistem Rusia atau Belarusia, dan melakukan pemeriksaan terkait produk keamanan sebelum mengambil payload utama dan menyuntikkannya ke proses Windows tepercaya seperti svchost.exe. Salah satu keluarga malware yang dikirim adalah backdoor. NET dan pencuri informasi yang dapat mengumpulkan data sensitif dan membuat saluran terenkripsi ke server command-and-control. Rantai serangan lainnya juga menjatuhkan arsip ZIP yang menggunakan DLL side-loading untuk meluncurkan DanaBot dan SectopRAT.
Sementara itu, teknik Click Fix juga diamati dalam kampanye aktif yang menggunakan setidaknya lima situs WordPress yang disusupi sebagai titik awal untuk mengirimkan loader dan backdoor baru bernama Lorem Ipsum Loader. Situs-situs yang diretas mencakup berbagai sektor, termasuk arsitektur, layanan hukum, dan teknologi konstruksi.
Loader ini diyakini telah aktif di alam liar sejak Februari 2026. Ekosistem Lorem Ipsum dikaitkan dengan keyakinan tinggi kepada aktor ancaman bermotif finansial yang dikenal sebagai Vanilla Tempest (alias Rapid Brigantine, Vice Society, dan Vice Spider) yang dikenal menyebarkan ransomware seperti Rhysida, BlackCat, Zeppelin, dan Quantum Locker.
Urutan serangan yang mendistribusikan Lorem Ipsum Loader menggunakan umpan pembaruan keamanan browser web Edge bergaya ClickFix untuk menjalankan perintah berbahaya yang mengunduh file ZIP dan versi Node. js yang sudah usang dirilis pada 2017 (versi 7.10.1) untuk mengeksekusi payload berbasis JavaScript.
Payload JavaScript tersebut berfungsi sebagai dropper untuk menyebarkan dan mengeksekusi komponen malware tambahan, termasuk skrip batch yang mengatur persistensi dengan meluncurkan rantai DLL side-loading untuk mengeksekusi DLL berbahaya (mscoree. dll atau msvcp140.
dll), yang kemudian mendekode payload Lorem Ipsum Loader yang tertanam.
Kampanye ketiga yang mengandalkan ClickFix adalah rantai serangan canggih yang menginstal paket MSI, lalu menjatuhkan loader yang sebelumnya tidak terdokumentasi dengan nama kode Potemkin melalui payload HTML Application (HTA). Loader ini berfungsi sebagai saluran untuk EtherRAT dan RMMProject, sebuah DLL yang dapat diskrip dengan Lua dengan modul untuk mengaktifkan kontrol layar jarak jauh dan pencurian kredensial browser dengan melewati perlindungan App-Bound Encryption (ABE) Chromium.
Potemkin loader adalah custom x64 loader yang menggunakan algoritma pembuatan domain (DGA) untuk menemukan C2-nya dan secara reflektif memuat modul lanjutan di memori. Loader ini mendukung berbagai komponen berbeda, termasuk penemuan C2 berbasis DGA menggunakan kamus 1.000 kata bawaan, identifikasi korban melalui nilai UUID unik yang ditulis ke %LOCALAPPDATA%\hyper-v.
ver, polling tugas, pengambilan dan eksekusi DLL, serta cipher byte kustom untuk melindungi komunikasi C2 dan kamus DGA. Setelah akses terbentuk, aktor ancaman yang tidak dikenal dikatakan terlibat dalam aktivitas hands-on keyboard untuk mengonfigurasi pengecualian Microsoft Defender, menyebarkan terowongan Chisel reverse SOCKS, melakukan pengintaian tambahan, menyiapkan terowongan Cloudflare untuk akses persisten, dan menyebar secara lateral melalui WMIExec dan SMBExec untuk mencapai pengontrol domain dan menyebarkan EtherRAT ke lebih dari 11 host.
Kampanye ClickFix juga memanfaatkan minat yang berkembang seputar alat kecerdasan buatan (AI) untuk mendistribusikan penginstal MSI palsu untuk Claude guna menjalankan payload PowerShell. Ini menunjukkan bahwa pelaku ancaman terus mencari cara baru untuk mengeksploitasi tren teknologi terkini. Menyikapi maraknya serangan semacam ini, Apple telah memperkenalkan pop-up keamanan baru di macOS Tahoe 26.4 yang memperingatkan pengguna Mac yang mencoba menempelkan perintah ke aplikasi Terminal dari situs web, agen obrolan, atau aplikasi perpesanan. “Penipu menggunakan saluran ini untuk menginstruksikan orang menempelkan perintah berbahaya ke Terminal untuk merusak Mac Anda atau mengkompromikan privasi Anda. Peringatan ini membantu memastikan bahwa Anda tidak tertipu untuk menjalankan perintah yang tidak Anda duga,” jelas Apple. Para peneliti Huntress menegaskan bahwa ClickFix tetap efektif karena mengeksploitasi sifat manusia. “Orang secara alami mengikuti arahan ketika disajikan instruksi yang jelas dan terlihat berwibawa (‘tekan Win+R, tempel ini, tekan Enter’). Rekayasa sosialnya tidak perlu canggih; ia hanya perlu terlihat seperti langkah pemecahan masalah yang sah, dan sering kali, itu sudah cukup.”
Baca Juga: Pentingnya Kerangka Kerja Keamanan untuk Aplikasi AI, Kata Joshua Goldfarb
Dengan semakin canggihnya teknik penyamaran dan distribusi, pengguna diimbau untuk selalu waspada terhadap instruksi mencurigakan yang muncul di layar, terutama yang meminta untuk menjalankan perintah atau mengunduh file dari sumber tidak dikenal. Selalu verifikasi keabsahan sebuah pembaruan atau peringatan keamanan sebelum mengikuti langkah-langkahnya.
Leave a Comment