Layar Windows Update Palsu Memicu Gelombang Baru Serangan ClickFix

Layar Windows Update palsu kini menjadi jebakan untuk menipu pengguna agar mengunduh malware. Dengan teknik pengiriman multi-tahap dan berbagai taktik yang tak biasa, pelaku kejahatan siber berhasil menembus pertahanan keamanan.

Kampanye Pengiriman Malware

Sejak Oktober lalu, Huntress telah mengidentifikasi sejumlah situs umpan ClickFix yang menipu korban untuk menjalankan perintah berbahaya, dimulai dengan halaman yang meminta pengguna menekan Win+R, CTRL+V, dan Enter. Versi terbaru bahkan menampilkan layar Windows Update palsu yang meminta tindakan tersebut untuk "menyelesaikan update." Jika diikuti, rantai infeksi pun dimulai.

"Pada dasarnya, kampanye ini menggunakan perintah mshta.exe dengan alamat IP tersembunyi untuk mengeksekusi malware seperti Lumma dan Rhadamanthys," kata peneliti Huntress, Ben Folland dan Anna Pham. Proses ini terjadi di dalam memori, membuatnya sulit terdeteksi.

Pencegahan Serangan ClickFix

ClickFix kini menjadi metode utama yang digunakan oleh penyerang, dan banyak kit phishing bertema ClickFix tersedia di pasaran. Untuk menghindari serangan, admin disarankan untuk menonaktifkan Windows Run Box dan memblokir interaksi dengan fitur tersebut melalui kebijakan GPO. Pengguna juga perlu dilatih untuk mengenali serangan ClickFix dan menggunakan telemetri EDR untuk memantau aktivitas mencurigakan.

Di macOS, pembatasan akses Terminal untuk pengguna non-admin serta pemblokiran skrip tidak sah melalui kebijakan MDM juga dianjurkan. (helpnetsecurity/Z-10)