ClickFix Manfaatkan Halaman Palsu GMeet & Zoom untuk Infostealer

Taktik rekayasa sosial canggih yang dikenal sebagai "ClickFix" kini muncul sebagai ancaman besar dalam dunia keamanan siber. Metode ini memanfaatkan halaman palsu Google Meet dan Zoom untuk menyebarkan malware infostealer, perangkat lunak berbahaya yang dapat mencuri informasi sensitif dari perangkat korban. Pertama kali terdeteksi pada Mei 2024, teknik ini dengan cepat menyebar dan menarik perhatian kelompok peretas terkenal, termasuk APT28, yang dikenal kerap melakukan serangan siber dengan dukungan negara.

Serangan ClickFix mengikuti metode yang cukup konsisten, meski ada beberapa variasi tergantung sistem operasi yang digunakan korban. Pada umumnya, pengguna diarahkan ke halaman konferensi palsu yang dibuat menyerupai situs asli Google Meet atau Zoom. Di sana, mereka akan menerima pesan kesalahan palsu yang mengindikasikan adanya masalah teknis, seperti mikrofon atau headset yang tidak berfungsi. Pesan kesalahan ini membuat pengguna percaya bahwa ada gangguan nyata dan mengarahkan mereka untuk melakukan beberapa langkah "pemecahan masalah."

Langkah-langkah ini tampak biasa saja, tetapi sebenarnya menyesatkan dan berujung pada infeksi malware. Awalnya, pengguna diminta menekan kombinasi tombol “Windows + R” untuk membuka dialog perintah Run pada komputer mereka, kemudian “Ctrl + V” untuk menempelkan kode berbahaya yang telah disalin secara diam-diam ke papan klip mereka melalui JavaScript. Terakhir, pengguna cukup menekan “Enter” untuk menjalankan perintah tersebut, yang akan mengaktifkan program PowerShell atau Mshta guna mengunduh dan menginstal malware di perangkat mereka.

Yang membuat ClickFix unik adalah kemampuannya menyamarkan aktivitas berbahaya dengan menggunakan Windows Explorer sebagai proses utama. Pendekatan ini membuat aktivitas malware tampak lebih sah di mata sistem keamanan, sehingga lebih sulit dideteksi oleh perangkat lunak anti-malware standar. Sementara metode serangan untuk pengguna macOS cenderung lebih sederhana dengan menyediakan unduhan langsung malware bernama Amos Stealer, pengguna Windows sering kali harus melalui proses infeksi yang lebih rumit.

Pada perangkat Windows, jalur infeksi biasanya terbagi menjadi dua skenario utama. Pada metode pertama, ClickFix menggunakan perintah mshta untuk menjalankan kode berbahaya yang akan menghubungkan perangkat korban ke server kendali penyerang, lalu mengunduh malware secara otomatis. Pada metode kedua, malware disebarkan melalui PowerShell, yang kemudian mengunduh dan menginstal infostealer di sistem korban. Kedua metode ini sama-sama berbahaya dan efektif dalam memasukkan infostealer ke perangkat korban.

Penelitian yang dilakukan oleh Sekoia Threat Detection & Research mengungkap bahwa infrastruktur serangan ClickFix memiliki beberapa komponen penting. Pertama, ada halaman konferensi video palsu yang dibuat sangat mirip dengan platform asli seperti Google Meet atau Zoom. Halaman-halaman ini didesain untuk menipu pengguna agar percaya bahwa mereka berada di platform sah. Kedua, ada kode JavaScript yang dirancang untuk memanipulasi papan klip sistem korban, yang memungkinkan pelaku menyisipkan perintah jahat tanpa disadari oleh pengguna. Ketiga, terdapat server perintah dan kendali (command-and-control) yang mendistribusikan payload malware ke perangkat korban. Keempat, ClickFix dilengkapi dengan teknik penghindaran deteksi yang canggih, sehingga aktivitas jahat ini lebih sulit terdeteksi oleh sistem keamanan.

Ancaman ini cukup besar hingga CERT UA, agen keamanan siber dari Ukraina, mengeluarkan laporan resmi yang menghubungkan beberapa serangan ClickFix dengan kelompok APT28. Temuan ini mengindikasikan bahwa taktik ClickFix kini juga dimanfaatkan oleh aktor ancaman tingkat negara yang kemungkinan bertujuan meretas organisasi tertentu demi kepentingan nasional.

Bagi perusahaan dan organisasi, langkah pencegahan ClickFix sangat penting untuk menghindari infeksi. Beberapa rekomendasi mencakup implementasi solusi deteksi dan respons endpoint (EDR) yang kuat guna memantau aktivitas mencurigakan. Langkah ini bisa membantu mengidentifikasi perintah atau aktivitas aneh pada PowerShell dan mshta.exe, dua aplikasi yang sering digunakan dalam serangan ini. Selain itu, menerapkan mekanisme deteksi di tingkat jaringan juga berguna untuk memantau lalu lintas yang tidak wajar. Terakhir, edukasi pengguna mengenai keamanan saat menggunakan platform video konferensi juga bisa membantu mencegah mereka menjadi korban.

ClickFix ini menunjukkan betapa canggihnya serangan rekayasa sosial modern. Dengan semakin banyaknya aktor jahat yang mengadopsi teknik ini, tim keamanan siber harus selalu waspada dan memperbarui strategi deteksi serta pencegahan.