Para peneliti dari SilentPush baru-baru ini menemukan kampanye ClickFix yang melibatkan malware backdoor berukuran besar. Menurut mereka, para pelaku ancaman ini menjual akses yang mereka peroleh di dark web.
Kampanye ini, yang diberi nama DriveSurge, dimulai di situs-situs yang keamanannya lemah, di mana para penjahat menyuntikkan skrip jahat. Skrip-skrip ini berfungsi sebagai penanda ringan yang mengirimkan data pengunjung ke sistem distribusi trafik jarak jauh (Traffic Distribution System – TDS) bernama zTDS. Di dalam sistem ini, pengunjung dievaluasi dan apabila dianggap sebagai target, server zTDS akan menginstruksikan skrip untuk memuat overlay ClickFix.
Baik bot maupun peneliti yang mencurigakan akan diarahkan ke halaman web yang sah untuk menghindari deteksi.
Ribuan Situs Web Terlibat
Bergantung pada profil yang dibuat, korban bisa diarahkan ke ClickFix atau FakeUpdates. Tujuannya tetap sama, meski eksekusinya sedikit berbeda. Dalam kedua kasus, korban akan diperlihatkan masalah (misalnya, browser mereka dianggap kedaluwarsa). Dalam ClickFix, mereka ditawarkan solusi berupa perintah untuk disalin dan ditempelkan ke dalam program Windows Run atau Terminal, sementara dalam FakeUpdates, mereka langsung mendapatkan executable yang menginstal malware.
Dalam kedua situasi tersebut, korban akhirnya memiliki backdoor yang memberikan akses tanpa batas bagi penyerang ke sistem target. Akses ini kemudian dijual di dark web kepada kelompok lain yang bisa menggunakannya untuk berbagai keperluan, seperti pengambilan data, pencurian identitas, penipuan melalui transfer uang, atau ransomware.
Jumlah pasti situs web yang terlibat dalam kampanye ini tidak diungkapkan, tetapi SilentPush menyebutkan bahwa para penyerang telah membobol “ribuan” situs web, dan seluruh kampanye DriveSurge beroperasi dalam skala yang sangat besar. “Dengan menggunakan zTDS, DriveSurge mengambil alih ribuan situs web sah dengan reputasi tinggi dan secara diam-diam mengarahkan pengunjung ke malware, tanpa sepengetahuan pemilik situs atau pengunjung mereka,” demikian bunyi laporan SilentPush.
Untuk melindungi diri dari serangan ClickFix dan FakeUpdates, langkah yang disarankan cukup sederhana: hanya unduh pembaruan dari sumber yang tepercaya dan jangan pernah menempelkan perintah di Run atau Terminal sesuai permintaan situs web.
