Kampanye ClickFix Berekspansi: Tiga Loader Malware Baru dan Teknik Penipuan Pembaruan Palsu

Kampanye jahat yang memanfaatkan taktik rekayasa sosial bernama ClickFix kini telah berevolusi. Para peneliti keamanan independen melaporkan perluasan signifikan dalam operasinya dengan pengiriman tiga loader malware baru—BabaDeda Loader, Lorem Ipsum Loader, dan Potemkin. Laporan dari berbagai lembaga riset menunjukkan bahwa serangan ini tidak lagi terbatas pada sektor kripto dan Web3, melainkan telah menjangkau organisasi pendidikan dan keuangan. Perubahan ini menandakan bahwa kelompok di balik serangan semakin agresif dan adaptif dalam memilih target serta metode penyebaran.

Salah satu loader yang paling menonjol adalah BabaDeda Loader. Aktivitas awal BabaDeda diketahui dari kampanye tahun 2021 yang menargetkan sektor kripto dan Web3 dengan tujuan menyebarkan pencuri data, RAT, hingga ransomware LockBit. Namun, dalam perkembangannya, loader ini telah bertransformasi menjadi platform yang jauh lebih canggih. Menurut peneliti Morphisec, Shmuel Uzan, framework baru ini mempertahankan "genom kode" yang sama—yaitu kemampuan menyembunyikan payload jahat di dalam paket installer yang tampak sah—tetapi kini diperluas untuk meningkatkan kemampuan dalam hal stealth, penghindaran deteksi, dan fleksibilitas payload. Dengan kata lain, BabaDeda kini menjadi alat yang lebih mematikan bagi penyerang.

Serangan ClickFix dimulai dengan rekayasa sosial yang menipu korban agar menjalankan perintah PowerShell yang disediakan oleh penyerang. Perintah ini kemudian mengunduh loader, yang selanjutnya digunakan untuk mengirimkan berbagai jenis malware seperti pencuri data dan RAT. Teknik yang digunakan sangat beragam, mulai dari eksekusi PowerShell tersembunyi, shellcode in-memory, side-loading DLL, hingga penyimpanan payload eksternal. Kombinasi teknik ini membuat deteksi dini menjadi sangat sulit, terutama karena sebagian besar aktivitas jahat terjadi di memori atau dengan memanfaatkan proses sah seperti svchost.exe.

Loader BabaDeda juga dilengkapi dengan kemampuan untuk memeriksa lingkungan sistem sebelum menjalankan payload utamanya. Misalnya, loader ini diketahui menghindari sistem yang terdeteksi menggunakan bahasa Rusia atau Belarus. Selain itu, loader ini juga melakukan pemeriksaan terhadap produk keamanan yang terpasang di sistem korban. Jika sistem dianggap aman, loader akan mengambil payload utama dan menyuntikkannya ke dalam proses tepercaya seperti svchost.exe. Pendekatan ini memungkinkan malware untuk beroperasi dengan tingkat kebisingan yang rendah dan menghindari perhatian dari alat keamanan tradisional.

Salah satu payload yang dikirimkan melalui BabaDeda Loader adalah backdoor berbasis .NET yang berfungsi sebagai pencuri data dan alat komunikasi terenkripsi ke server komando dan kontrol (C2). Malware ini memiliki berbagai kemampuan, termasuk pengumpulan data sensitif dari sistem korban. Dengan menggunakan saluran terenkripsi, malware ini dapat mengirimkan data curian tanpa terdeteksi oleh sistem keamanan yang memantau lalu lintas jaringan. Kemampuan ini menjadikan BabaDeda Loader sebagai ancaman yang sangat serius, terutama bagi organisasi yang menangani data sensitif.

Selain BabaDeda Loader, kampanye ClickFix juga menggunakan loader lain bernama Lorem Ipsum Loader. Meskipun namanya terkesan biasa, loader ini memiliki peran penting dalam ekosistem serangan ini. Lorem Ipsum Loader sering kali digunakan untuk mendistribusikan malware tambahan seperti pencuri data atau RAT dengan cara yang mirip dengan BabaDeda Loader. Namun, perbedaannya terletak pada teknik penyamaran dan struktur payload yang digunakan. Loader ini juga memanfaatkan file eksternal sebagai tempat penyimpanan payload, sehingga mengurangi jejak digital dan menyulitkan analisis forensik.

Loader ketiga yang terlibat dalam kampanye ini adalah Potemkin. Loader ini dikenal karena kemampuannya untuk memalsukan aktivitas sistem yang sah. Dengan menggunakan teknik side-loading DLL, Potemkin dapat meluncurkan malware seperti DanaBot dan SectopRAT (juga dikenal sebagai ArechClient) tanpa menimbulkan kecurigaan. Salah satu komponen kunci dari serangan ini adalah Storage Crypter, sebuah loader bertahap yang membaca payload dari file eksternal seperti "List.Control.dat." Pendekatan ini memungkinkan penyerang untuk menyembunyikan payload jahat di balik file yang tampak tidak berbahaya, sehingga sulit dideteksi oleh sistem keamanan otomatis.

Salah satu teknik yang paling mengkhawatirkan dalam kampanye ini adalah penggunaan luring pembaruan palsu. Korban diyakinkan untuk mengunduh dan menjalankan apa yang tampak sebagai pembaruan perangkat lunak resmi, padahal sebenarnya merupakan pintu gerbang bagi loader malware. Setelah loader berhasil dieksekusi, malware akan diunduh dan dijalankan di latar belakang tanpa sepengetahuan korban. Teknik ini sangat efektif karena memanfaatkan kepercayaan korban terhadap proses pembaruan perangkat lunak yang rutin.

Serangan terhadap sektor pendidikan dan keuangan menunjukkan bahwa penyerang semakin pintar dalam memilih target. Sektor pendidikan, dengan infrastruktur TI yang sering kali kurang terlindungi, menjadi sasaran empuk bagi serangan malware. Sementara itu, sektor keuangan, yang menangani data sensitif dan transaksi keuangan, menjadi target yang sangat menarik karena potensi kerugian finansial dan reputasi yang besar. Dengan menggunakan loader yang canggih dan teknik penyamaran yang rumit, penyerang dapat menghindari deteksi dan memaksimalkan dampak dari serangan mereka.

Bagi organisasi, terutama yang berada di sektor pendidikan dan keuangan, penting untuk meningkatkan kewaspadaan terhadap kampanye semacam ini. Salah satu langkah awal yang dapat diambil adalah dengan meningkatkan kesadaran karyawan terhadap taktik rekayasa sosial, terutama yang berkaitan dengan pembaruan palsu dan perintah PowerShell yang mencurigakan. Selain itu, organisasi juga harus memastikan bahwa sistem keamanan mereka diperbarui secara berkala dan dilengkapi dengan alat deteksi yang mampu mengidentifikasi aktivitas jahat di memori atau melalui side-loading DLL.

Penggunaan teknik in-memory dan side-loading DLL juga menekankan pentingnya memiliki solusi keamanan yang mampu memantau aktivitas di tingkat memori dan proses sistem. Alat keamanan tradisional seperti antivirus berbasis signature sering kali gagal mendeteksi serangan semacam ini karena malware tidak meninggalkan jejak file yang dapat dideteksi. Oleh karena itu, organisasi perlu mempertimbangkan untuk mengadopsi solusi keamanan yang lebih canggih, seperti EDR (Endpoint Detection and Response) atau solusi yang memanfaatkan kecerdasan buatan untuk mendeteksi perilaku mencurigakan.

Selain itu, organisasi juga harus memastikan bahwa sistem mereka tidak rentan terhadap teknik side-loading DLL. Hal ini dapat dilakukan dengan menerapkan kebijakan whitelisting aplikasi yang diizinkan untuk berjalan di sistem, serta memastikan bahwa semua aplikasi pihak ketiga yang digunakan telah diverifikasi dan diperbarui. Dengan mengurangi jumlah aplikasi yang berpotensi tidak aman, organisasi dapat meminimalkan risiko serangan melalui side-loading DLL.

Bagi pengguna rumahan, penting untuk selalu waspada terhadap permintaan untuk menjalankan perintah PowerShell atau mengunduh pembaruan perangkat lunak dari sumber yang tidak dikenal. Pengguna juga disarankan untuk selalu memeriksa sumber pembaruan perangkat lunak dan memastikan bahwa pembaruan tersebut berasal dari sumber resmi. Selain itu, pengguna juga harus memastikan bahwa sistem operasi dan perangkat lunak keamanan mereka selalu diperbarui untuk mengurangi risiko kerentanan yang dapat dieksploitasi oleh penyerang.

Dari perspektif industri, serangan semacam ini menunjukkan perlunya kolaborasi yang lebih erat antara penyedia layanan keamanan, peneliti keamanan, dan organisasi yang menjadi target. Dengan berbagi informasi tentang taktik, teknik, dan prosedur (TTP) yang digunakan oleh penyerang, industri keamanan dapat lebih siap menghadapi ancaman yang terus berkembang. Selain itu, organisasi juga harus secara rutin melakukan simulasi serangan dan pelatihan keamanan untuk memastikan bahwa karyawan mereka siap menghadapi berbagai jenis ancaman.

Kampanye ClickFix dengan tiga loader malware barunya merupakan contoh nyata bagaimana ancaman siber terus berkembang dan semakin canggih. Dengan menggunakan teknik penyamaran yang rumit, eksekusi in-memory, dan rekayasa sosial yang cerdik, penyerang dapat menghindari deteksi dan memaksimalkan dampak dari serangan mereka. Bagi organisasi dan pengguna rumahan, kewaspadaan, pendidikan, dan penerapan solusi keamanan yang tepat adalah kunci untuk mengurangi risiko menjadi korban serangan semacam ini.