JoshGowPhotography – ClickFix adalah malware terbaru yang memanfaatkan tampilan pembaruan Windows palsu untuk menipu pengguna. Dalam varian terbaru ini, malware ini semakin canggih dengan memanfaatkan layar pembaruan penuh yang terlihat seperti proses update resmi Windows. Peneliti dari Huntress mengungkapkan cara kerja ClickFix yang lebih rapi, yang membuatnya semakin sulit dideteksi.
“Baca Juga: TECNO Megabook S14, Laptop Ringan 899 Gram, Segera Rilis di Indonesia”
Cara Kerja ClickFix: Menipu dengan Tampilan Pembaruan Windows Palsu
ClickFix bekerja dengan mengalihkan perhatian korban melalui situs-situs berisiko, terutama halaman streaming dewasa yang penuh dengan iklan pop-up mencurigakan. Begitu korban mengklik iklan atau verifikasi usia palsu, browser mereka akan berubah menjadi tampilan pembaruan Windows yang macet pada angka sembilan puluh lima persen. Layar ini dirancang agar korban merasa perlu mengikuti instruksi yang muncul.
Selanjutnya, korban diarahkan untuk menekan tombol Windows + R dan memasukkan perintah tertentu. Perintah ini menjalankan mshta, alat bawaan Windows, yang kemudian menghubungi server pelaku untuk mengunduh payload berbahaya. Agar mengelabui deteksi, kodenya dipenuhi dengan baris perintah yang tidak penting dan sebagian disembunyikan dalam file gambar PNG. Payload ini diekstrak dari gambar dan disuntikkan ke proses lain menggunakan .NET.
Payload Berbahaya: Pencurian Data dan Infostealer
Setelah berhasil memasuki sistem korban, ClickFix melanjutkan tahap berikutnya dengan menurunkan infostealer seperti Rhadamanthys atau LummaC2. Malware ini dirancang untuk mencuri data pribadi seperti password, cookie browser, login perbankan, dan data dompet kripto. Semua informasi yang dikumpulkan kemudian dikirimkan ke pelaku. Peneliti juga menemukan string acak yang merujuk pada pidato PBB lama, yang tampaknya ditambahkan untuk membuang waktu para peneliti forensik.
Serangan ini pertama kali terdeteksi pada awal Oktober dan masih berlangsung hingga kini. Banyak domain palsu yang menampilkan tampilan pembaruan Windows yang sama, dan serangan ini tidak memerlukan file untuk diunduh. Semua bergantung pada rekayasa sosial dan instruksi yang diberikan kepada korban.
Tidak Ada Perintah Pembaruan Windows Melalui Run Box
Salah satu cara paling efektif untuk mencegah infeksi ClickFix adalah dengan mengingat bahwa Windows tidak pernah meminta pengguna untuk membuka Run box untuk melakukan pembaruan. Oleh karena itu, jika Anda diminta untuk menjalankan perintah apapun melalui command prompt, seperti perintah pembaruan Windows, maka ini bisa jadi serangan malware. Jangan pernah mengikuti instruksi semacam ini.
“Baca Juga: The Witcher 4 Tidak Rilis di 2026, Developer Siapkan Trilogi”
Cara Pencegahan dan Perlindungan dari ClickFix
Untuk menghindari terinfeksi oleh malware seperti ClickFix, Anda perlu berhati-hati saat mengunjungi situs yang tidak terpercaya, terutama yang mengandung iklan pop-up atau permintaan verifikasi usia. Hindari menjalankan perintah yang diberikan oleh pop-up atau layar pembaruan yang tampak mencurigakan. Selalu pastikan perangkat Anda dilindungi dengan perangkat lunak keamanan yang terkini dan aktifkan fitur pembaruan otomatis untuk memastikan perlindungan yang lebih baik dari potensi ancaman.
Leave a Reply