ClickFix hacker menyamar sebagai perusahaan modal ventura menyerang pengguna crypto, QuickLens melakukan peretasan dan pengungkapan secara jahat

Perusahaan keamanan siber Moonlock Lab merilis laporan pada hari Senin, mengungkapkan metode serangan terbaru peretas cryptocurrency yang berpusat pada teknik “ClickFix”: para penipu menyamar sebagai perusahaan modal ventura palsu seperti SolidBit dan MegaBit untuk menghubungi praktisi crypto di LinkedIn guna menawarkan peluang kerja sama, dan akhirnya membujuk korban untuk menjalankan perintah berbahaya di terminal komputer mereka sendiri, sehingga mencuri aset kripto.

Analisis metode serangan ClickFix: mengubah korban menjadi pelaku serangan

Inovasi utama dari serangan ClickFix terletak pada benar-benar mengganggu jalur infeksi malware tradisional. Proses serangan biasanya meliputi langkah-langkah berikut:

Fase 1 (Pekerja Sosial di LinkedIn): Peretas menghubungi pengguna target atas nama perusahaan modal ventura palsu, menawarkan peluang kerja sama bisnis yang tampak sah dan membangun kepercayaan awal.

Fase 2 (Tautan Video Palsu): Mengarahkan target ke tautan penipuan yang menyamar sebagai Zoom atau Google Meet, menuju ke “halaman acara” yang dibuat menyerupai aslinya.

Fase 3 (Pembajakan Clipboard): Halaman tersebut menampilkan kotak verifikasi palsu dari Cloudflare bertuliskan “Saya bukan robot”, dan saat diklik, perintah berbahaya secara diam-diam disalin ke clipboard pengguna.

Fase 4 (Eksekusi Otomatis): Meminta pengguna membuka terminal komputer dan menempelkan “kode verifikasi”, padahal yang dijalankan sebenarnya adalah perintah serangan.

Tim peneliti Moonlock Lab menunjukkan: “Efisiensi teknologi ClickFix terletak pada kemampuannya mengubah korban sendiri menjadi mekanisme eksekusi serangan. Dengan membiarkan korban menempelkan dan menjalankan perintah secara mandiri, penyerang dapat melewati berbagai perlindungan yang telah dibangun industri keamanan selama bertahun-tahun—tanpa harus mengeksploitasi kerentanan atau memicu perilaku unduhan yang mencurigakan.”

Rincian insiden pembajakan QuickLens dan daftar fitur berbahaya

Kasus pembajakan QuickLens menunjukkan vektor serangan lain—serangan rantai pasokan terhadap pengguna yang sudah sah:

• 1 Februari: Perpanjangan ekstensi QuickLens dan transfer kepemilikan.
• Dua minggu kemudian: Pemilik baru merilis versi terbaru yang mengandung skrip berbahaya.
• 23 Februari: Peneliti keamanan Tuckner secara terbuka mengungkapkan bahwa ekstensi tersebut telah dihapus dari Chrome Web Store.

Daftar fitur berbahaya meliputi:

• Mencari dan mencuri data dompet cryptocurrency serta seed phrase (frasa pemulihan).
• Mengambil isi kotak masuk Gmail pengguna.
• Mencuri data dari channel YouTube.
• Menangkap kredensial login dan informasi pembayaran yang dimasukkan dalam formulir web.

Menurut laporan dari eSecurity Planet, ekstensi yang dibajak ini menyebarkan modul serangan ClickFix dan alat pencuri data lainnya, menunjukkan bahwa aktor di baliknya memiliki kemampuan untuk mengkoordinasikan berbagai alat secara bersamaan.

Latar belakang ancaman yang lebih luas dari ClickFix

Moonlock Lab menunjukkan bahwa teknologi ClickFix telah dengan cepat menyebar di kalangan pelaku ancaman sejak tahun 2025. Keunggulan utamanya adalah memanfaatkan perilaku manusia daripada kerentanan perangkat lunak, sehingga secara fundamental menghindari deteksi oleh alat keamanan tradisional.

Departemen intelijen ancaman Microsoft memperingatkan pada Agustus 2025 bahwa mereka terus memantau “aktivitas serangan harian yang menargetkan ribuan perusahaan dan perangkat akhir di seluruh dunia.” Dalam laporan Juli 2025, perusahaan intelijen siber Unit42 mengonfirmasi bahwa ClickFix telah mempengaruhi berbagai industri—termasuk manufaktur, grosir dan ritel, pemerintah daerah dan negara bagian, serta energi dan utilitas—yang jauh melampaui sektor cryptocurrency saja.

Pertanyaan yang Sering Diajukan

Mengapa serangan ClickFix mampu melewati perangkat lunak antivirus dan keamanan?
Logika desain perangkat lunak antivirus tradisional adalah mengenali dan memblokir eksekusi otomatis program yang mencurigakan. Keberhasilan ClickFix terletak pada menjadikan “manusia” sebagai pelaku—korban secara aktif memasukkan dan menjalankan perintah, bukan malware yang secara otomatis menanamkan kode. Hal ini membuat alat keamanan berbasis perilaku sulit mendeteksi ancaman, karena terminal tampak menjalankan operasi yang tampak seperti aktivitas pengguna normal.

Bagaimana mengenali serangan rekayasa sosial tipe ClickFix?
Tanda utama termasuk: menerima tawaran kerjasama bisnis dari akun LinkedIn yang tidak dikenal, diminta memasukkan “kode verifikasi” atau “langkah perbaikan” setelah mengklik tautan rapat, instruksi apa pun yang meminta membuka terminal (prompt perintah) dan menempelkan kode, serta tampilan antarmuka palsu yang menyamar sebagai Cloudflare atau CAPTCHA. Prinsip keamanannya adalah: layanan yang sah tidak akan meminta pengguna menjalankan perintah di terminal untuk proses otentikasi.

Langkah apa yang harus diambil pengguna QuickLens saat ini?
Jika Anda telah menginstal ekstensi QuickLens, segera hapus dari browser Anda. Ganti semua dompet cryptocurrency yang mungkin telah terpengaruh (buat frasa pemulihan baru dan transfer dana ke dompet baru). Reset kata sandi Gmail dan akun terkait lainnya. Disarankan untuk secara rutin meninjau ekstensi browser yang terpasang dan berhati-hati terhadap ekstensi yang baru saja berganti kepemilikan.