Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Dari Ransomware Sampai ClickFix
  • Ransomware

Dari Ransomware Sampai ClickFix

3 min read
Dari ClickFick Sampai Ransomware

Dari ClickFick Sampai Ransomware

Mengubah-ubah cara dalam menyerang adalah taktik lazim penjahat dunia maya saat ini, hal itu yang dilakukan geng Interlocke mulai dari ransomware sampai ClickFix

Geng ransomware Interlock kini menggunakan serangan ClickFix yang menyamar sebagai perangkat TI untuk membobol jaringan perusahaan dan menyebarkan ransomware pada perangkat.

ClickFix adalah taktik social engineering yang mengelabui korban agar menjalankan perintah PowerShell berbahaya pada sistem mereka untuk memperbaiki kesalahan atau memverifikasi diri mereka sendiri, yang mengakibatkan pemasangan malware.

Meskipun ini bukan pertama kalinya ClickFix dikaitkan dengan infeksi ransomware, konfirmasi tentang Interlock menunjukkan tren peningkatan pelaku ancaman jenis ini yang memanfaatkan taktik tersebut.

Interlock adalah operasi ransomware yang diluncurkan pada akhir September 2024, yang menargetkan server FreeBSD dan sistem Windows.

Interlock diyakini tidak beroperasi sebagai model ransomware as a service. Namun, Interlock tetap memiliki portal kebocoran data di dark web untuk meningkatkan tekanan pada korban, menuntut pembayaran mulai dari ratusan ribu dolar hingga jutaan dolar.

Baca juga: Ransomware as a Service Medusa

Dari Ransomware Sampai ClickFick

 

Dari ClickFick Sampai Ransomware

Di masa lalu, Interlock menggunakan pembaruan browser dan klien VPN palsu untuk memasang malware dan membobol jaringan.

Menurut data hasil analisis para peneliti keamanan siber, kelompok ransomware Interlock mulai memanfaatkan serangan ClickFix pada Januari 2025.

Interlock menggunakan sedikitnya empat URL untuk menghosting perintah CAPTCHA palsu yang memberi tahu pengunjung untuk menjalankan perintah di komputer mereka guna memverifikasi diri mereka sendiri dan mengunduh alat yang dipromosikan.

Para peneliti mengatakan mereka mendeteksi captcha berbahaya di empat situs berbeda, yang meniru portal Microsoft atau Advanced IP Scanner:

  • microsoft-msteams[.]com/additional-check.html
  • microstteams[.]com/additional-check.html
  • ecologilives[.]com/additional-check.html
  • advanceipscaner[.]com/additional-check.html

Namun, hanya situs yang meniru Advanced IP Scanner, alat pemindaian IP populer yang umum digunakan oleh staf TI, yang menyebabkan pengunduhan penginstal berbahaya.

Mengklik tombol ‘Perbaiki’ menyalin perintah PowerShell berbahaya ke clipboard korban. Jika dijalankan dalam prompt perintah atau dialog Windows Run, ia akan mengunduh muatan PyInstaller berukuran 36 MB.

Pada saat yang sama, situs web AdvanceIPScanner yang sah terbuka di jendela browser untuk mengurangi kecurigaan.

Muatan berbahaya tersebut memasang salinan perangkat lunak yang sah yang dipalsukan dan secara bersamaan menjalankan skrip PowerShell tertanam yang berjalan di jendela tersembunyi.

Skrip ini mendaftarkan kunci Run di Windows Registry untuk persistensi dan kemudian mengumpulkan dan mengekstrak info sistem termasuk versi OS, tingkat hak istimewa pengguna, proses yang berjalan, dan drive yang tersedia.

Baca juga: Pembasmi Vampir Itu Kini Ransomware

Command and Control

 

Dari ClickFick Sampai Ransomware

Peneliti telah mengamati command and control (C2) yang merespons dengan berbagai muatan, seperti:

  • LummaStealer.
  • BerserkStealer.
  • Keylogger.
  • Interlock RAT.

Yang terakhir adalah trojan sederhana yang dapat dikonfigurasi secara dinamis, mendukung eksfiltrasi file, eksekusi perintah shell, dan menjalankan DLL berbahaya.

Setelah kompromi awal dan penerapan RAT, operator Interlock menggunakan kredensial curian untuk bergerak secara lateral melalui RDP, sementara Sekoia juga melihat PuTTY, AnyDesk, dan LogMeIn digunakan dalam beberapa serangan.

Langkah terakhir sebelum eksekusi ransomware adalah eksfiltrasi data, dengan file yang dicuri diunggah ke Azure Blobs yang dikendalikan penyerang.

Varian Windows dari Interlock diatur melalui tugas terjadwal untuk berjalan setiap hari pada pukul 08:00 PM, tetapi berkat penyaringan berbasis ekstensi file, ini tidak menyebabkan beberapa lapisan enkripsi tetapi berfungsi sebagai tindakan redundansi.

Peneliti juga melaporkan bahwa catatan tebusan juga telah berkembang, dengan versi terbaru lebih berfokus pada aspek hukum dari pelanggaran data dan konsekuensi peraturan jika data yang dicuri dipublikasikan.

Demikian topik bahasan kita kali ini mengenai dari ClickFix sampai ransomware, semoga informasi yang disampaikan dapat bermanfaat.

 

 

 

Baca artikel lainnya: 

  • Ransomware Afiliasi Negara
  • Tren Ransomware 2025
  • Asia Tenggara Lahan Basah Ransomware
  • Fenomena Ransomware Baru Bermunculan
  • 3 Fase Serangan Ransomware
  • Pencegahan Ransomware Berdasar Persyaratan Keamanan Kata Sandi
  • Persiapan Menghadapi Ransomware
  • Panduan Ransomware Singkat
  • Yang Perlu Diperhatikan dari Ransomware di Tahun Ini

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Aman Belanja Online dan Perbandingannya dengan Belanja Offline
Next: Serangan Email Palsu Tipu Google

Related Stories

Momok Ransomware Teratas DragonForce Momok Ransomware Teratas DragonForce
4 min read
  • Ransomware

Momok Ransomware Teratas DragonForce

May 6, 2025
Model Afiliasi Gaya Baru Ransomware MEMATIKAN!! Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!
3 min read
  • Ransomware

Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!

April 25, 2025
Ransomware as a Service Medusa Ransomware as a Service Medusa
3 min read
  • Ransomware
  • Sektor Bisnis

Ransomware as a Service Medusa

April 8, 2025

Recent Posts

  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Copyright © All rights reserved. | DarkNews by AF themes.