Serangan ClickFix: Satu Klik, Data Perusahaan Terkunci

Dunia siber kembali dihebohkan dengan metode serangan terbaru dari kelompok ransomware bernama Interlock. Kelompok ini diketahui menyamar sebagai penyedia alat IT terpercaya untuk mengelabui pengguna melalui serangan yang dikenal dengan nama ClickFix. Serangan ini telah digunakan untuk menyusup ke jaringan perusahaan, mencuri data penting, dan mengunci file pada perangkat korban dengan malware.

Menurut laporan dari firma keamanan siber Sekoia, metode ClickFix semakin sering digunakan sejak awal tahun 2025. Interlock memanfaatkan ketidaktahuan pengguna yang mengira mereka sedang memperbaiki masalah teknis, padahal mereka justru sedang menginstal malware ke dalam sistem.

Apa Itu ClickFix?

ClickFix adalah metode rekayasa sosial (social engineering) yang mengandalkan manipulasi psikologis untuk mengelabui korban. Dalam kasus ini, korban diarahkan ke halaman palsu yang menampilkan pesan seperti “verifikasi diri” atau “perbaiki kesalahan sistem.” Kemudian, korban diminta menyalin dan menjalankan perintah PowerShell sebuah tool command line di Windows yang sebenarnya telah dimodifikasi untuk memasukkan malware ke perangkat mereka.

Metode ini dianggap sangat efektif karena mengandalkan kelengahan pengguna biasa maupun staf IT yang mengira sedang menjalankan instruksi resmi dari perusahaan teknologi ternama seperti Microsoft atau penyedia perangkat lunak jaringan.

Bagaimana Interlock Menjebak Korban?

Peneliti keamanan menemukan setidaknya empat situs web palsu yang digunakan Interlock untuk melancarkan aksinya. Situs-situs ini meniru tampilan halaman milik Microsoft Teams dan alat pemindai IP populer, Advanced IP Scanner, yang biasa digunakan oleh para staf IT untuk memetakan jaringan.

Berikut adalah beberapa situs palsu yang digunakan:

• microsoft-msteams[.]com/additional-check.html
• microstteams[.]com/additional-check.html
• ecologilives[.]com/additional-check.html
• advanceipscaner[.]com/additional-check.html

Dari keempat situs tersebut, hanya yang meniru situs Advanced IP Scanner yang benar-benar mengarahkan pengguna untuk mengunduh alat instalasi yang telah disusupi malware.

Setelah pengguna mengeklik tombol “Fix it”, perintah PowerShell berbahaya akan otomatis disalin ke clipboard komputer korban. Jika korban menempelkannya dan menjalankannya, sistem akan mulai mengunduh file malware berukuran 36MB.

Serangan yang Terorganisir dan Tersembunyi

Yang membuat serangan ini semakin canggih adalah cara Interlock menyamarkan aksinya. Saat perintah dijalankan, situs resmi Advanced IP Scanner dibuka secara otomatis di browser, sehingga korban tidak menyadari bahwa sesuatu yang janggal sedang terjadi.

Sementara itu, malware yang terunduh tidak hanya menginstal software tiruan, tetapi juga menjalankan skrip PowerShell tersembunyi. Skrip ini diam-diam menanamkan dirinya ke dalam sistem Windows, sehingga aktif kembali setiap kali komputer dinyalakan. Selain itu, skrip ini akan mengumpulkan berbagai informasi penting dari perangkat korban seperti:

• Versi sistem operasi
• Hak akses pengguna
• Proses yang sedang berjalan
• Daftar drive yang tersedia

Informasi ini kemudian dikirimkan ke server yang dikendalikan oleh pelaku.

Malware Lanjutan dan Akses Jarak Jauh

Setelah akses awal diperoleh, Interlock dapat mengirim malware tambahan ke perangkat korban. Jenis malware yang dikirim sangat beragam, di antaranya:

• LummaStealer dan BerserkStealer untuk mencuri data penting
• Keylogger untuk merekam semua ketikan pada keyboard
• Interlock RAT (Remote Access Trojan) yang memungkinkan pelaku mengendalikan perangkat dari jarak jauh

Interlock RAT dapat dikonfigurasi sesuai kebutuhan pelaku untuk menjalankan perintah tertentu, mencuri file, atau menjalankan skrip berbahaya lainnya.

Dari Pencurian Data ke Ransomware

Setelah berhasil masuk ke jaringan internal perusahaan, operator Interlock biasanya menggunakan kredensial yang telah dicuri untuk menyebar lebih jauh ke perangkat lain di jaringan. Mereka menggunakan alat bantu seperti Remote Desktop Protocol (RDP), serta software seperti PuTTY, AnyDesk, dan LogMeIn untuk mengakses perangkat lain secara diam-diam.

Sebelum ransomware dijalankan, Interlock terlebih dahulu mencuri data penting dan mengunggahnya ke penyimpanan cloud milik pelaku (Azure Blobs). Barulah setelah itu, ransomware akan diaktifkan.

Dalam serangan pada sistem Windows, ransomware dijadwalkan untuk aktif setiap hari pada pukul 20.00 (8 malam). Namun, sistem ini menggunakan filter berdasarkan ekstensi file agar tidak mengunci file yang sama berulang kali. Hal ini berfungsi sebagai langkah cadangan jika upaya sebelumnya gagal.

Catatan Ancaman Semakin Menakutkan

Interlock juga memperbarui isi catatan tebusannya. Jika sebelumnya fokus pada jumlah uang yang harus dibayar, kini mereka menekankan pada dampak hukum dan regulasi yang bisa terjadi bila data perusahaan dipublikasikan di internet.

Ancaman semacam ini tentunya membuat banyak perusahaan semakin waspada, karena kebocoran data bisa menyebabkan sanksi hukum, gugatan pelanggan, dan kerugian reputasi yang besar.

ClickFix, Taktik Baru yang Mendunia

ClickFix kini bukan hanya digunakan oleh Interlock. Banyak kelompok peretas lainnya, termasuk peretas dari Korea Utara, mulai mengadopsi taktik ini.

Bulan lalu, peneliti dari Sekoia menemukan bahwa kelompok peretas Lazarus dari Korea Utara menggunakan metode ClickFix untuk menargetkan para pencari kerja di industri kripto. Mereka meniru perusahaan yang sedang membuka lowongan kerja, lalu menyebarkan tautan yang menampilkan CAPTCHA palsu dan menyuruh korban menyalin perintah verifikasi yang sebenarnya berisi malware.

Waspada Adalah Kunci

Serangan yang dilancarkan geng Interlock melalui metode ClickFix membuktikan bahwa dunia maya kini semakin dipenuhi dengan tipu daya yang canggih. Bahkan staf IT pun bisa tertipu bila tidak teliti.

Untuk itu, perusahaan disarankan untuk:

• Melatih karyawan mengenai ancaman rekayasa sosial
• Tidak sembarangan menyalin perintah dari situs tidak resmi
• Memastikan perangkat memiliki antivirus dan sistem keamanan yang diperbarui
• Meninjau secara berkala aktivitas jaringan untuk mendeteksi anomali

Jangan pernah percaya sepenuhnya pada apa yang muncul di layar Anda. Karena bisa jadi, satu klik “Fix it” justru menjadi awal dari mimpi buruk digital.