Dari ClickFick Sampai Ransomware
Mengubah-ubah cara dalam menyerang adalah taktik lazim penjahat dunia maya saat ini, hal itu yang dilakukan geng Interlocke mulai dari ransomware sampai ClickFix
Geng ransomware Interlock kini menggunakan serangan ClickFix yang menyamar sebagai perangkat TI untuk membobol jaringan perusahaan dan menyebarkan ransomware pada perangkat.
ClickFix adalah taktik social engineering yang mengelabui korban agar menjalankan perintah PowerShell berbahaya pada sistem mereka untuk memperbaiki kesalahan atau memverifikasi diri mereka sendiri, yang mengakibatkan pemasangan malware.
Meskipun ini bukan pertama kalinya ClickFix dikaitkan dengan infeksi ransomware, konfirmasi tentang Interlock menunjukkan tren peningkatan pelaku ancaman jenis ini yang memanfaatkan taktik tersebut.
Interlock adalah operasi ransomware yang diluncurkan pada akhir September 2024, yang menargetkan server FreeBSD dan sistem Windows.
Interlock diyakini tidak beroperasi sebagai model ransomware as a service. Namun, Interlock tetap memiliki portal kebocoran data di dark web untuk meningkatkan tekanan pada korban, menuntut pembayaran mulai dari ratusan ribu dolar hingga jutaan dolar.
|
Baca juga: Ransomware as a Service Medusa |
Dari Ransomware Sampai ClickFick
Di masa lalu, Interlock menggunakan pembaruan browser dan klien VPN palsu untuk memasang malware dan membobol jaringan.
Menurut data hasil analisis para peneliti keamanan siber, kelompok ransomware Interlock mulai memanfaatkan serangan ClickFix pada Januari 2025.
Interlock menggunakan sedikitnya empat URL untuk menghosting perintah CAPTCHA palsu yang memberi tahu pengunjung untuk menjalankan perintah di komputer mereka guna memverifikasi diri mereka sendiri dan mengunduh alat yang dipromosikan.
Para peneliti mengatakan mereka mendeteksi captcha berbahaya di empat situs berbeda, yang meniru portal Microsoft atau Advanced IP Scanner:
- microsoft-msteams[.]com/additional-check.html
- microstteams[.]com/additional-check.html
- ecologilives[.]com/additional-check.html
- advanceipscaner[.]com/additional-check.html
Namun, hanya situs yang meniru Advanced IP Scanner, alat pemindaian IP populer yang umum digunakan oleh staf TI, yang menyebabkan pengunduhan penginstal berbahaya.
Mengklik tombol ‘Perbaiki’ menyalin perintah PowerShell berbahaya ke clipboard korban. Jika dijalankan dalam prompt perintah atau dialog Windows Run, ia akan mengunduh muatan PyInstaller berukuran 36 MB.
Pada saat yang sama, situs web AdvanceIPScanner yang sah terbuka di jendela browser untuk mengurangi kecurigaan.
Muatan berbahaya tersebut memasang salinan perangkat lunak yang sah yang dipalsukan dan secara bersamaan menjalankan skrip PowerShell tertanam yang berjalan di jendela tersembunyi.
Skrip ini mendaftarkan kunci Run di Windows Registry untuk persistensi dan kemudian mengumpulkan dan mengekstrak info sistem termasuk versi OS, tingkat hak istimewa pengguna, proses yang berjalan, dan drive yang tersedia.
|
Baca juga: Pembasmi Vampir Itu Kini Ransomware |
Command and Control
Peneliti telah mengamati command and control (C2) yang merespons dengan berbagai muatan, seperti:
- LummaStealer.
- BerserkStealer.
- Keylogger.
- Interlock RAT.
Yang terakhir adalah trojan sederhana yang dapat dikonfigurasi secara dinamis, mendukung eksfiltrasi file, eksekusi perintah shell, dan menjalankan DLL berbahaya.
Setelah kompromi awal dan penerapan RAT, operator Interlock menggunakan kredensial curian untuk bergerak secara lateral melalui RDP, sementara Sekoia juga melihat PuTTY, AnyDesk, dan LogMeIn digunakan dalam beberapa serangan.
Langkah terakhir sebelum eksekusi ransomware adalah eksfiltrasi data, dengan file yang dicuri diunggah ke Azure Blobs yang dikendalikan penyerang.
Varian Windows dari Interlock diatur melalui tugas terjadwal untuk berjalan setiap hari pada pukul 08:00 PM, tetapi berkat penyaringan berbasis ekstensi file, ini tidak menyebabkan beberapa lapisan enkripsi tetapi berfungsi sebagai tindakan redundansi.
Peneliti juga melaporkan bahwa catatan tebusan juga telah berkembang, dengan versi terbaru lebih berfokus pada aspek hukum dari pelanggaran data dan konsekuensi peraturan jika data yang dicuri dipublikasikan.
Demikian topik bahasan kita kali ini mengenai dari ClickFix sampai ransomware, semoga informasi yang disampaikan dapat bermanfaat.
Sumber berita:
