Waspada! Serangan ClickFix Terbaru Incar Pengguna WordPress

Dalam beberapa pekan terakhir, peneliti keamanan siber menemukan kampanye terkoordinasi yang menargetkan situs WordPress dengan menyuntikkan JavaScript berbahaya. Tujuannya sederhana namun efektif: mengalihkan pengunjung ke halaman phishing bergaya ClickFix yang dirancang untuk mengelabui korban agar menjalankan perintah berbahaya dan akhirnya memasang malware di komputer mereka. Meski tekniknya terdengar teknis, dampaknya nyata: pengguna kebingungan, data dicuri, dan situs yang dikompromikan kehilangan reputasi.

Bagaimana Serangan ini Dimulai: Injeksi ke Tema WordPress

Salah satu vektor serangan yang paling sering dipakai adalah menyuntikkan kode ke file tema WordPress — khususnya ke functions.php. Begitu kode berbahaya masuk ke sana, setiap kali halaman dimuat, pengunjung berpotensi menerima skrip pihak ketiga yang terlihat “normal” namun berfungsi sebagai remote loader.

Dalam kampanye terbaru yang diungkap peneliti, kode di functions.php tampak menyertakan referensi ke Google Ads (kemungkinan untuk menyamarkan aktivitasnya), tetapi sebenarnya skrip tersebut mengirim permintaan HTTP POST ke domain berbahaya (brazilc[.]com). Domain ini lalu merespons dengan payload dinamis yang terdiri dari:

• File JavaScript jarak jauh (mis. porsasystem[.]com/6m9x.js) — berisi kode pengalihan (redirect) yang sudah ditemukan di banyak situs.
• Potongan JavaScript yang membuat iframe tersembunyi 1×1 dan menyuntikkan kode yang meniru aset Cloudflare (mis. cdn-cgi/challenge-platform/scripts/jsd/main.js) untuk memberi tampilan “sah”.

Penting: meniru aset Cloudflare bukan sekadar tiruan visual hal tersebut bertujuan membuat halaman phishing tampak sebagai tantangan verifikasi browser yang sah sehingga korban lebih percaya dan mengikuti instruksi.

 
IUAM ClickFix Generator: Membuat Phishing jadi Mudah

Salah satu pengungkap utama adalah tim Unit 42 dari Palo Alto Networks yang menjelaskan keberadaan IUAM ClickFix Generator — sebuah kit phishing komersial yang memungkinkan pembuatan halaman ClickFix palsu secara cepat dan mudah. Fitur utamanya:

• Membuat landing pages yang menyerupai tantangan verifikasi CDN/cloud (mis. Cloudflare).
• Menyediakan opsi kustomisasi umpan agar terlihat meyakinkan.
• Memiliki kemampuan memanipulasi clipboard (menjadi bagian penting dari teknik ClickFix).
• Mendeteksi sistem operasi korban untuk menyesuaikan malware yang akan dikirim.

Artinya, pelaku yang kurang mahir teknis sekalipun kini bisa menjalankan serangan canggih. Microsoft sendiri sudah memperingatkan bahwa sejak akhir 2024 ada peningkatan builder ClickFix di forum bawah tanah dan beberapa kit mengklaim bisa melewati perlindungan seperti Microsoft Defender SmartScreen.

 
Cache Smuggling: Trik Baru yang Sulit Dideteksi

Lebih mengkhawatirkan lagi adalah teknik yang disebut cache smuggling (penyelundupan cache). Alih-alih mengunduh file berbahaya secara langsung ke komputer korban, penyerang memanfaatkan cache browser untuk menyimpan “file” yang tampak aman (mis. image/jpeg), padahal isinya sebenarnya adalah payload terkompresi (ZIP) atau data lain yang nantinya diekstrak dan dijalankan oleh skrip PowerShell.

Langkah ringkas skemanya:

• Pengunjung diarahkan ke halaman phishing yang menyuntikkan data ke cache browser.
• Korban dimanipulasi (mis. diminta membuka File Explorer dan menempelkan perintah) sehingga skrip PowerShell berjalan via conhost.exe.
• Skrip itu mengekstrak konten yang sudah tersimpan di cache (disamarkan sebagai gambar), membuat scheduled task, dan kemudian terhubung ke server command-and-control.

Keunggulan metode ini bagi pelaku: tidak ada file berbahaya yang tampak diunduh, membuat deteksi oleh antivirus tradisional atau sistem monitoring lebih sulit.

 
Dampak Nyata dan Contoh Malware yang Dipakai

Dalam beberapa kasus, halaman yang dibuat dari kit ClickFix digunakan untuk menyebarkan information stealers seperti DeerStealer dan Odyssey Stealer (yang menarget macOS). Setelah perangkat terinfeksi, pelaku dapat mencuri kredensial, cookie sesi, file penting, dan data sensitif lain.

Bagi pemilik situs WordPress, konsekuensinya besar: situs menjadi pintu masuk serangan, kehilangan kepercayaan pengunjung, dan berpotensi terkena daftar hitam oleh layanan keamanan atau mesin pencari.

 
Rekomendasi Praktis untuk pemilik WordPress

• Perbarui semuanya, tema, plugin, dan inti WordPress harus selalu di-update ke versi terbaru.
• Gunakan plugin keamanan, firewall aplikasi web (WAF), scanner file, dan plugin yang memantau perubahan file seperti functions.php.
• Periksa integritas tema, bandingkan file tema dengan versi resmi; cari modifikasi mencurigakan terutama di functions.php.
• Audit akun admin, hapus akun admin yang tidak dikenal dan gunakan autentikasi dua faktor (2FA) untuk semua akun admin.
• Kata sandi kuat, pastikan semua pengguna memakai kata sandi kompleks dan unik; gunakan manajer kata sandi jika perlu.
• Backup rutin, simpan cadangan terpisah dan uji proses pemulihan.
• Batasi akses file, gunakan permission file yang ketat dan batasi kemampuan editing tema melalui dashboard (disable file editor).
• Pantau trafik dan log, perhatikan lonjakan rujukan (referral), permintaan POST aneh, dan aktivitas skrip pihak ketiga.
• Gunakan CSP dan SRI, Content Security Policy dan Subresource Integrity membantu mencegah injeksi skrip tak sah.
• Edukasi pengguna, beri tahu tim dan pengunjung cara mengenali halaman verifikasi palsu dan jangan menempelkan perintah yang diminta situs.

Jika situs sudah terinfeksi: langkah respon cepat

• Putuskan akses: aktifkan mode pemeliharaan, ganti kata sandi admin, reset kunci API.
• Pulihkan dari backup bersih yang diverifikasi.
• Scan dan bersihkan semua file tema/plugin yang dimodifikasi (periksa functions.php).
• Periksa dan hapus akun administrator yang mencurigakan.
• Laporkan insiden ke penyedia hosting dan, bila perlu, ke otoritas terkait.
• Segera update semua komponen dan pasang monitoring berkelanjutan.

Dengan menerapkan praktik keamanan yang konsisten, risiko dapat ditekan, sekaligus menjaga pengalaman online pengguna tetap aman. Jangan menunggu sampai terjadi pelanggaran,  periksa situs Anda sekarang juga dan pastikan tidak ada celah yang dapat dimanfaatkan.