Bandar Lampung (Lampost.co) — Varian terbaru malware ClickFix kembali menyebar dan menjadi perhatian dunia keamanan siber. Tidak seperti serangan tradisional yang mengandalkan celah teknis, ClickFix justru memanfaatkan kepanikan dan kepatuhan pengguna terhadap tampilan pembaruan Windows. Begitu korban tertipu dan mengikuti instruksi, sistem dapat disusupi tanpa perlu mengunduh berkas apa pun.
Pola Penipuan Melalui Tampilan Update Penuh Layar
Serangan biasanya muncul ketika pengguna membuka situs berisiko tinggi, terutama halaman streaming dewasa atau website dengan pop-up agresif. Hanya satu klik yang keliru pada iklan atau tombol verifikasi usia sudah cukup untuk mengunci tampilan browser menjadi layar pembaruan Windows ukuran penuh, lengkap dengan progress bar yang berhenti di 95 persen.
Pada tahap ini muncul instruksi untuk menekan kombinasi Windows + R, lalu menempelkan sebuah perintah untuk “memperbaiki proses update yang macet”. Instruksi inilah yang membuat pengguna menjadi pintu masuk bagi ClickFix. Perlu diingat, pembaruan Windows asli tidak pernah meminta pengguna menjalankan perintah manual melalui Run.
Mekanisme Penyusupan Tanpa Unduhan File
Perintah yang ditempel korban menjalankan mshta, alat bawaan Windows, untuk mengambil payload dari server pelaku. Dari sini, varian ClickFix menunjukkan tingkat penyamaran yang jauh lebih matang dibanding versi sebelumnya. Sebagian kode berbahaya disembunyikan di dalam file PNG menggunakan teknik steganografi, kemudian diekstrak untuk menghasilkan shellcode.
Shellcode tersebut disuntikkan ke proses berbasis .NET agar tampak seperti aktivitas sistem biasa dan membuat antivirus lebih sulit mendeteksinya. Peneliti juga menemukan sejumlah string acak yang tidak memiliki fungsi, termasuk referensi pidato PBB, yang diduga sengaja ditambahkan untuk menghambat proses analisis forensik.
Aksi Pencurian Data Setelah Berhasil Masuk
Begitu berhasil menyisipkan dirinya ke dalam sistem, ClickFix melanjutkan serangan dengan mengunduh infostealer tingkat lanjut seperti Rhadamanthys atau LummaC2. Tujuan fase ini adalah mengambil sebanyak mungkin informasi sensitif milik pengguna.
Data yang menjadi target mencakup:
-
kata sandi dan cookie browser
-
kredensial email dan perbankan
-
informasi kartu kredit
-
aset kripto dari dompet digital
Semua informasi dikirimkan langsung ke server pelaku secara otomatis. Kampanye ClickFix dengan teknik baru ini telah aktif sejak awal Oktober dan masih berlangsung dengan banyak domain tiruan yang menayangkan tampilan pembaruan palsu serupa.
Mengapa Serangan Ini Sangat Efektif
Keberhasilan ClickFix tidak bertumpu pada kemampuan menjebol sistem operasi, melainkan pada reaksi psikologis pengguna. Banyak orang terbiasa mematuhi instruksi yang terlihat resmi, terutama ketika layar menunjukkan adanya masalah yang harus segera diperbaiki.
Antivirus dan firewall tidak selalu dapat menghentikan serangan seperti ini, karena pengguna sendiri yang mengeksekusi perintah berbahaya dengan keyakinan bahwa instruksi berasal dari Windows.
Langkah Pencegahan bagi Pengguna
Cara paling sederhana untuk menghindari infeksi ClickFix adalah memahami pola terpenting dari serangannya: Windows tidak meminta pembaruan diselesaikan melalui Run, Command Prompt, atau PowerShell.
Jika tampilan pembaruan Windows tiba-tiba muncul ketika sedang browsing, lakukan langkah berikut:
-
Jangan mengikuti instruksi apa pun yang diminta layar
-
Tutup browser melalui Task Manager (Ctrl + Shift + Esc)
-
Lakukan pemindaian antivirus secara menyeluruh
-
Hapus data browsing untuk mencegah sisa skrip aktif kembali
Penutup
Tren ClickFix menunjukkan bahwa faktor manusia semakin menjadi sasaran utama pelaku kejahatan siber. Teknologi keamanan dapat terus diperkuat, namun selama pengguna masih mudah panik dan tergoda instruksi palsu, metode rekayasa sosial tetap menjadi ancaman paling berbahaya.
Waspada setiap kali muncul layar pembaruan Windows yang tidak wajar. Jika berasal dari situs web, itu hampir pasti bukan update resmi, melainkan serangan.
