• December 24, 2025

I Am Not a Robot”: ClickFix, StealC, dan Qilin Ransomware

Dalam lanskap ancaman siber modern, ClickFix muncul sebagai taktik yang semakin umum digunakan oleh aktor ancaman untuk menginstal malware pada perangkat korban. ClickFix memanfaatkan instruksi palsu yang menyerupai verifikasi manusia sehingga pengguna secara tidak sadar mengunduh dan mengeksekusi perangkat lunak berbahaya. Umumnya, malware yang diinstal adalah infostealer atau Remote Access Trojan (RAT).

Tim peneliti Sophos Counter Threat Unit (CTU™) baru-baru ini menyelidiki kampanye yang menggunakan ClickFix untuk menyebarkan Qilin ransomware. Investigasi ini menyoroti bagaimana korban pertama kali terinfeksi, bagaimana infostealer StealC digunakan, dan bagaimana ransomware Qilin akhirnya dijalankan.

Alur Infeksi: Dari Klik ke Ransomware

1. Kompromi Website dan Script Malicious

Kampanye dimulai ketika korban mengunjungi situs sah yang telah dikompromikan, seperti aquafestonline[.]com. Situs ini menanamkan script JavaScript berbahaya yang diambil dari domain eksternal islonline[.]org. Script ini:

  • Mengenali sistem operasi dan browser korban.

  • Membuat string unik delapan karakter untuk melacak korban.

  • Membuat iframe layar penuh yang memuat halaman ClickFix palsu dari PHP file di yungask[.]com.

Halaman ClickFix ini menipu pengguna untuk menjalankan proses “verifikasi manusia” yang sebenarnya memicu download malware.

2. Instalasi NetSupport RAT

Setelah verifikasi selesai, sebuah batch file (jh.bat) diunduh ke C:\ProgramData, yang kemudian mengeksekusi ZIP berisi NetSupport Manager Client. Meskipun NetSupport adalah alat akses jarak jauh sah, versi yang disalahgunakan ini disebut NetSupport RAT karena populer di kalangan aktor ancaman.

Batch file ini:

  • Mengekstrak file ke C:\ProgramData\Disy.

  • Menjalankan client32.exe.

  • Membuat entri registry untuk persistensi.

CTU mengamati RAT menghubungi server C2 di 94[.]158[.]245[.]13, dengan port RDP, HTTPS, dan WinRM terbuka. Server ini menjadi basis untuk unduhan malware selanjutnya.

3. Infeksi StealC

Dari server C2, korban mengunduh mir2.zip yang berisi mfpmp.exe (Microsoft Media Foundation Protected Pipeline) yang digunakan untuk sideload DLL berbahaya (rtworkq.dll). Proses ini memicu StealC V2, infostealer terbaru yang menawarkan kemampuan stealth dan fleksibilitas lebih tinggi dibanding versi pertama. StealC digunakan untuk mencuri kredensial dan informasi sensitif korban.

4. Penyebaran Qilin Ransomware

Sekitar sebulan setelah infeksi StealC, catatan tebusan Qilin (README-RECOVER-ID-XXXXXX.txt) muncul di jaringan korban. Analisis menunjukkan bahwa penyerang:

  • Menggunakan kredensial yang dicuri melalui StealC untuk mengakses jaringan lewat akun VPN yang memiliki hak istimewa, termasuk perangkat Fortinet VPN.

  • Dua akun tambahan dari sumber yang sama juga membuat tunnel VPN.

  • Ada kemungkinan kredensial awal dibeli oleh afiliasi Qilin dari marketplace underground, seperti Russian Market.

Qilin adalah ransomware-as-a-service (RaaS) yang dijalankan oleh kelompok GOLD FEATHER, menggunakan model double extortion: selain mengenkripsi file, data yang dicuri digunakan untuk menekan korban membayar tebusan. Sejak Januari 2024 hingga Desember 2025, Qilin menampilkan 1.168 korban di situs kebocoran datanya.

Analisis Teknikal

Kampanye ClickFix-Qilin menunjukkan beberapa teknik penting:

  1. Social engineering canggih: halaman verifikasi palsu ClickFix membuat korban mengunduh malware secara sadar.

  2. Penyalahgunaan alat sah: NetSupport Manager digunakan sebagai RAT untuk persistent access.

  3. Sideloading DLL: StealC V2 dipasang melalui mfpmp.exe yang sah, meningkatkan kemampuan menghindari deteksi.

  4. Pivot VPN dan RaaS: kredensial yang dicuri memungkinkan afiliasi ransomware mengeksekusi Qilin, menunjukkan efektivitas rantai penjualan akses awal.

Sophos XDR menyediakan deteksi untuk aktivitas ini, termasuk:

  • ATK/Shanya-B

  • Mal/NetSupRat-A

Indikator ini memungkinkan tim keamanan mendeteksi dan merespons sebelum ransomware dieksekusi.

Rekomendasi Mitigasi

CTU merekomendasikan organisasi untuk menerapkan praktik keamanan dasar, terutama untuk menghadapi ancaman ransomware modern:

  1. Patch perangkat dan layanan yang terhubung ke internet secara cepat.

  2. Batasi exposure layanan rentan, seperti RDP, hanya bila ada kebutuhan bisnis.

  3. Implementasikan phishing-resistant MFA di seluruh jaringan.

  4. Gunakan EDR dan monitoring aktif untuk mendeteksi aktivitas pendahuluan seperti infostealer atau RAT.

  5. Edukasi pengguna agar waspada terhadap verifikasi palsu atau instruksi mencurigakan.

Kesimpulan

Kampanye ClickFix-Qilin menegaskan beberapa hal:

  • Ancaman modern multilayered: kombinasi social engineering, RAT, infostealer, dan ransomware.

  • Akses awal yang dicuri bisa dijual atau digunakan oleh afiliasi ransomware, mempercepat eskalasi serangan.

  • Mitigasi yang efektif membutuhkan EDR, MFA, patching rutin, dan edukasi pengguna.

Sophos CTU menekankan bahwa ancaman semacam ini bukan sekadar malware biasa, melainkan serangan rantai multi-tahap, dan organisasi yang siap akan mampu mendeteksi, menghentikan, dan memitigasi kerusakan sebelum ransomware dieksekusi.

Lindungi jaringan Anda sekarang — karena setiap detik berarti.
Jika Anda membutuhkan rencana respons insiden yang matang atau briefing teknis terkait ancaman terbaru, kami siap membantu membangun strategi pertahanan yang kokoh dan efektif.

  •  Ingin tahu bagaimana Sophos dapat memperkuat keamanan jaringan Anda dengan teknologi terkini?
  • Hubungi Sophos Indonesia atau
  •  Konsultasikan kebutuhan keamanan Anda dengan PT. iLogo Infralogy Indonesia.

Tim kami siap menghadirkan solusi keamanan terbaik, memastikan sistem Anda tetap aman, tangguh, dan siap menghadapi segala ancaman siber.
Ambil langkah sekarang dan amankan jaringan Anda sebelum ancaman muncul.