Medium Baru Pengiriman Malware

Medium Baru Pengiriman Malware – Dunia keamanan siber kembali dikejutkan dengan adaptasi taktik yang sangat cerdik dari para aktor ancaman, melalui serangan yang dikenal dengan nama ClickFix.

Yang selama ini mengandalkan manipulasi psikologis untuk memancing pengguna menjalankan perintah berbahaya secara manual, kini telah berevolusi.

Para peneliti keamanan baru-baru ini menemukan varian baru yang menggunakan sistem penamaan domain atau DNS (Domain Name System) sebagai saluran untuk mengirimkan muatan (payload) tahap kedua.

Ini menandai tonggak sejarah baru dalam kampanye rekayasa sosial, di mana protokol yang biasanya digunakan untuk menerjemahkan nama situs web menjadi alamat IP, kini disalahgunakan untuk menyembunyikan skrip serangan dari deteksi keamanan tradisional.

Eksploitasi Perintah nslookup

Secara tradisional, serangan ClickFix menipu pengguna dengan instruksi palsu untuk memperbaiki kesalahan peramban atau memperbarui perangkat lunak dengan cara menyalin dan menempelkan skrip PowerShell yang panjang.

Namun, dalam kampanye terbaru yang dipantau oleh para peneliti, taktik tersebut menjadi jauh lebih ringkas namun mematikan.

Penyerang menginstruksikan korban untuk menjalankan perintah melalui kotak dialog Windows Run (Win+R). Perintah tersebut melibatkan penggunaan nslookup, sebuah alat baris perintah standar untuk menguji server DNS.

Alih-alih menghubungi server DNS sistem yang sah, perintah ini diarahkan untuk melakukan kueri ke server DNS yang dikendalikan oleh penyerang (misalnya pada alamat IP 84[.]21.189[.]20).

Hasil dari kueri DNS tersebut bukan berupa alamat IP, melainkan sebuah kolom “NAME:” yang berisi skrip PowerShell berbahaya yang telah dikodekan.

Karena aktivitas ini berjalan melalui protokol DNS (port 53), banyak sistem keamanan jaringan yang tidak mencurigainya karena menganggapnya sebagai lalu lintas pencarian domain biasa.

Dari Kueri DNS hingga ModeloRAT

Setelah skrip PowerShell tahap pertama diterima melalui respons DNS, skrip tersebut segera dieksekusi oleh interpreter perintah Windows (cmd.exe). Proses ini memicu rangkaian infeksi sebagai berikut:

Pengunduhan Lanjutan: Skrip tersebut mengunduh arsip ZIP yang berisi executable Python dan skrip berbahaya lainnya dari infrastruktur penyerang.
Reconnaissance (Pengintaian): Malware melakukan pemindaian menyeluruh pada perangkat dan domain yang terinfeksi untuk mengumpulkan informasi teknis.
Persistensi Sistem: Untuk memastikan serangan tetap berjalan setelah komputer dinyalakan ulang, penyerang membuat file VBScript di folder %APPDATA% dan pintasan (shortcut) di folder %STARTUP% dengan nama yang tampak tidak berbahaya seperti MonitoringService.lnk.
khir (ModeloRAT): Tahap akhir dari serangan ini adalah pemasangan ModeloRAT, sebuah Trojan akses jarak jauh yang memberikan kendali penuh kepada penyerang atas sistem korban.

Dari Web Hingga AI

Keberhasilan serangan ClickFix terletak pada kemampuannya untuk terus beradaptasi dengan tren teknologi terbaru. Sepanjang tahun terakhir, para peneliti mengidentifikasi beberapa varian yang kian canggih:

ConsentFix: Varian yang menyalahgunakan aplikasi Azure CLI OAuth untuk membajak akun Microsoft tanpa memerlukan kata sandi, sekaligus melewati sistem Autentikasi Multi-Faktor (MFA).
Eksploitasi Platform AI: Penjahat siber mulai menggunakan halaman berbagi pada ChatGPT, Grok, dan Claude Artifacts untuk menghosting panduan palsu. Karena halaman-halaman ini berada di domain tepercaya, pengguna cenderung lebih mudah tertipu.
Pembajakan Transaksi Kripto: Melalui komentar di platform seperti Pastebin, penyerang mempromosikan serangan ClickFix yang mengeksekusi JavaScript langsung di peramban saat pengguna mengunjungi bursa mata uang kripto untuk membajak transaksi keuangan mereka.

Korelasi dengan Keamanan Siber di Indonesia

Teknik serangan berbasis DNS dan rekayasa sosial ini memiliki tingkat risiko yang sangat tinggi di Indonesia karena beberapa alasan:

1. Kelemahan Pemantauan Protokol Non-HTTP

Banyak tim keamanan TI di Indonesia sudah sangat kuat dalam memantau lalu lintas web (HTTP/HTTPS), namun sering kali melonggarkan pengawasan pada protokol DNS.

Penyerang memanfaatkan celah ini untuk melakukan eksfiltrasi data atau pengiriman skrip berbahaya tanpa terdeteksi oleh firewall standar.

2. Rendahnya Literasi Terhadap Perintah Sistem

Budaya “instan” dalam memperbaiki masalah teknis sering kali membuat pengguna di Indonesia dengan mudah mengikuti instruksi yang meminta mereka memasukkan perintah tertentu ke dalam Windows Run atau Terminal.

Tanpa memahami isi perintah nslookup yang dimanipulasi, pengguna secara tidak sadar membuka pintu bagi peretas.

3. Risiko pada Infrastruktur Kritis dan Pemerintahan

Serangan yang mampu melewati MFA dan melakukan pengintaian domain (seperti yang dilakukan ModeloRAT) adalah ancaman serius bagi instansi pemerintah dan perusahaan infrastruktur kritis di Indonesi

Langkah Mitigasi dan Strategi Pertahanan

Menghadapi teknik ClickFix berbasis DNS, organisasi dan individu harus memperkuat pertahanan dengan langkah-langkah berikut:

Monitoring DNS Secara Ketat: Gunakan solusi keamanan yang mampu melakukan inspeksi paket mendalam (DPI) pada lalu lintas DNS untuk mendeteksi adanya respons DNS yang berisi teks skrip atau karakter anomali.
Edukasi Pengguna: Berikan peringatan keras kepada karyawan agar tidak pernah menjalankan perintah di kotak dialog “Run” atau “PowerShell” berdasarkan instruksi dari situs web yang tidak dikenal, apa pun alasan “perbaikan” yang ditawarkan.
Blokir DNS Server Pihak Ketiga: Batasi perangkat di dalam jaringan agar hanya dapat berkomunikasi dengan server DNS internal perusahaan yang telah dikonfigurasi secara aman.
Gunakan Solusi EDR/XDR: Pastikan sistem memiliki perlindungan titik akhir yang mampu mendeteksi eksekusi skrip PowerShell yang mencurigakan yang dipicu oleh proses sistem seperti nslookup.

Penggunaan DNS sebagai saluran pengiriman malware dalam kampanye ClickFix membuktikan bahwa kreativitas penjahat siber tidak pernah berhenti.

Dengan memanfaatkan protokol dasar internet yang sering diabaikan, mereka mampu menyusup ke jantung sistem operasi.

Kewaspadaan digital dan pemahaman teknis terhadap perintah yang kita jalankan adalah pertahanan terkuat untuk memutus rantai serangan yang kian hari kian halus ini.

Baca artikel lainnya: