Kelompok ancaman semakin banyak mengadopsi teknik rekayasa sosial yang dijuluki ClickFix untuk mengelabui pengguna agar menyalin kode PowerShell yang berbahaya dan menjalankannya sendiri.

Meskipun memerlukan lebih banyak interaksi pengguna agar berhasil, taktik tersebut telah diadopsi oleh beberapa kelompok penjahat siber dalam beberapa bulan terakhir.

Ini menunjukkan bahwa taktik tersebut cukup efektif untuk menghindari deteksi dibandingkan dengan mengandalkan mekanisme pengiriman muatan otomatis.

Baca juga: Jenis-jenis Social Engineering di Dunia Maya

Trik Menggigit ClixFix

Peneliti awalnya mengamati metode ini digunakan sejak Maret oleh kelompok ancaman yang dilacak sebagai TA571, yang bertindak sebagai perantara akses awal dalam ekosistem penjahat dunia maya.

Perusahaan tersebut menjuluki teknik tersebut ClickFix karena daya tariknya melibatkan dialog kesalahan browser palsu dengan petunjuk tentang cara memperbaiki masalah tersebut.

Petunjuk tersebut mengharuskan pengguna untuk mengklik tombol guna menyalin “perbaikan” lalu menempelkannya di dialog Windows Run, yang dapat dibuka dengan menekan tombol Windows+R, atau di terminal PowerShell.

Sejak saat itu, beberapa variasi teknik ini telah diamati, dengan kesalahan palsu yang meniru Microsoft Word dan bahkan perangkat lunak transportasi dan logistik khusus yang digunakan di sektor tertentu.

Ini menunjukkan bahwa pelaku ancaman yang menggunakan teknik ini pertama-tama mempelajari lingkungan target mereka untuk menentukan perangkat lunak apa yang mungkin digunakan karyawan.

Khususnya, pelaku ancaman baru-baru ini diamati menggunakan teknik ClickFix bertema CAPTCHA palsu yang berpura-pura memvalidasi pengguna dengan pemeriksaan ‘Verifikasi Anda Manusia’ (CAPTCHA).

Sebagian besar aktivitas didasarkan pada perangkat sumber terbuka bernama reCAPTCHA Phish yang tersedia di GitHub untuk tujuan pendidikan.

Peringatan Palsu Berbasis Email

Kesalahan palsu ClickFix asli ditampilkan melalui browser setelah korban ditipu untuk mengunjungi situs web yang disusupi. Namun, iterasi yang lebih baru juga dikirim langsung melalui email.

Misalnya, dalam satu kasus pengguna menerima email phishing dengan subjek “Pembaruan Perangkat Lunak Penting: Diperlukan Tindakan” yang menyertakan kode PowerShell yang dikodekan dan petunjuk tentang cara menjalankannya langsung dalam pesan email itu sendiri.

Kode berbahaya tersebut dirancang untuk mengunduh pengelola arsip 7zip beserta arsip .7z yang dilindungi kata sandi yang berisi varian trojan akses jarak jauh NetSupport.

Dalam kampanye lain, email phishing dengan tema seperti anggaran, keuangan, faktur, dan pengiriman, antara lain, berisi lampiran HTML yang ketika dibuka menampilkan kesalahan Microsoft Word palsu yang memerintahkan pengguna untuk menjalankan kode PowerShell guna memperbaiki masalah tersebut. Kampanye tersebut menyebarkan malware Brute Ratel C4 dan Latrodectus, yang terakhir telah menjadi favorit baru para pialang akses awal.

Baca juga: Melawan Social Engineering

Menggabungkan ClickFix dengan reCAPTCHA Phish

Pada bulan September, sebuah kampanye email yang menyamar sebagai Tim Keamanan GitHub memperingatkan penerima tentang kerentanan yang terdeteksi di repositori mereka.

Korban diarahkan ke halaman GitHub palsu yang meminta pengguna untuk lulus uji verifikasi CAPTCHA dengan menekan tombol Windows+R lalu CTRL+V dan Enter.

Hal ini menempelkan sepotong PowerShell berbahaya di dialog Run yang diakhiri dengan teks normal yang membaca ID Verifikasi reCAPTCHA diikuti oleh angka.

Teks reCAPTCHA palsu ini adalah satu-satunya bagian yang akan dilihat pengguna saat menempel karena kotak dialog Run memiliki ruang terbatas yang terlihat.

Kode berbahaya tersebut dirancang untuk menyebarkan varian pencuri informasi Lumma, yang juga digunakan dalam operasi pengunduhan aplikasi AI gratis yang berbahaya.

ClixFix dan Phising

Dalam kampanye ClickFix yang terpisah, pengguna menjadi sasaran email phishing yang menyamar sebagai pasar e-commerce Swiss Ricardo yang mengarahkan pengguna ke situs web palsu yang menggunakan perangkat reCAPTCHA Phish yang sama dengan teknik ClickFix.

Kode berbahaya dalam kasus ini memicu rantai serangan yang lebih rumit yang mengakibatkan pemasangan AsyncRAT atau PureLog Stealer. AsyncRAT digunakan secara luas sepanjang tahun 2023 untuk menargetkan karyawan infrastruktur utama AS.

Pada bulan Oktober, para peneliti mendeteksi kampanye ClickFix lain yang menggunakan umpan berbasis ChatGPT yang menjanjikan akses ke layanan generator prompt kepada pengguna.

Situs web jahat tersebut mendorong pengguna untuk bergabung dengan komunitas ChatGPT, tetapi menggunakan alat phish reCAPTCHA dan muatan clipboard ClickFix untuk mengelabui pengguna agar menjalankan kode berbahaya. Kampanye ini menggunakan malware XWorm, yang juga baru-baru ini digunakan dalam serangan phishing yang melibatkan hard drive virtual berbahaya.

Bahkan kelompok spionase dunia maya tampaknya telah mengadopsi teknik ClickFix. Menjelang akhir Oktober, sebuah kelompok APT yang dilacak sebagai UAC-0050 yang memiliki riwayat menargetkan organisasi dari Ukraina meluncurkan kampanye phishing di Ukraina yang menggunakan pemberitahuan palsu tentang dokumen bersama untuk mengarahkan pengguna ke situs web yang dikendalikan penyerang.

Situs web tersebut menggunakan kombinasi reCAPTCHA Phish dan ClickFix untuk mengelabui pengguna agar menjalankan PowerShell sebagai bagian dari tantangan CAPTCHA. Kode tersebut menggunakan pencuri informasi yang jarang digunakan yang dijuluki Lucky Volunteer.

Baca juga: Hoax dan Social Engineering

Mitigasi ClixFix

PowerShell adalah bahasa skrip dan lingkungan yang sangat canggih yang diinstal pada Windows secara default, yang dirancang untuk menyederhanakan dan mengotomatiskan tugas administrasi sistem. Karena penggunaannya yang luas dalam serangan malware selama 10 tahun terakhir, produk keamanan memantau kemungkinan pemanggilan PowerShell yang berbahaya.

Namun, mereka sering mencari contoh saat skrip PowerShell dijalankan oleh proses lain, karena begitulah cara PowerShell biasanya disalahgunakan, sebagai bagian dari rantai serangan yang lebih besar, seperti diluncurkan oleh makro Microsoft Word yang berbahaya, atau malware dropper yang mengunduh dan menjalankan skrip PowerShell yang berbahaya untuk menyebarkan muatan tambahan.

Dengan ClickFix, pengguna memanggil PowerShell secara manual dan langsung. Karena PowerShell memiliki kegunaan yang sah, perilaku ini tidak selalu mencurigakan.

Yang berbahaya dari teknik ini adalah para penyerang memangsa keinginan bawaan orang untuk membantu dan mandiri. Dengan menyediakan apa yang tampak sebagai masalah sekaligus solusi, orang merasa berdaya untuk memperbaiki masalah itu sendiri tanpa perlu memberi tahu tim TI mereka atau orang lain, dan hal itu mengabaikan perlindungan keamanan dengan membiarkan orang tersebut menginfeksi diri mereka sendiri.

Salah satu pertahanan terhadap serangan PowerShell adalah menonaktifkan fitur tersebut sepenuhnya pada komputer karyawan, tetapi hal ini dapat merusak tugas administratif, sehingga sebagian besar organisasi menghindarinya.

Sebaliknya, Microsoft menyarankan untuk membatasi akses ke PowerShell hanya untuk pengguna dan administrator yang berwenang. Hal ini dapat dilakukan dengan mengaktifkan kebijakan Device Guard atau Windows Defender Application Control.

Microsoft juga merekomendasikan penerapan Just Enough Administration (JEA), teknologi PowerShell yang memungkinkan pembatasan kekuatan akun dengan menggunakan prinsip hak istimewa paling rendah dan membatasi akses mereka hanya pada perintah PowerShell yang mereka perlukan untuk menyelesaikan pekerjaan mereka.

 

 

Baca artikel lainnya:  Social Engineering, Phising dan Psikologi Taktik Social Engineering Bypass MFA Bahaya Kejahatan Social Engineering Kejahatan Social Engineering Daring 5 Pusat Eksploitasi Social Engineering Pada Manusia Bahaya Social Engineering di Lingkungan Perusahaan Peretasan Manusia: Social Engineering 101 Risiko Berbagi di Media Sosial

 

Sumber berita:

 

Prosperita IT News