Kelompok Hacking Elite Rusia Menggunakan Teknik Serangan Clickfix

Salah satu kelompok hacking elit pemerintah Rusia telah mengadopsi serangan yang dikenal sebagai Clickfix untuk mengompromikan perangkat yang dimiliki oleh organisasi sensitif di Ukraina, demikian peringatan dari pusat CERT Ukraina.

Apa itu Clickfix?

Clickfix telah muncul sebagai teknik serangan yang efektif yang digunakan oleh penyerang, terutama pelaku kejahatan yang termotivasi secara finansial, sejak sekitar setahun yang lalu. Situs web yang dikendalikan oleh penyerang menampilkan CAPTCHA yang meminta pengunjung untuk menyalin teks yang tidak beraturan dan menempelkannya ke terminal. Teks tersebut mengandung script yang, ketika dimasukkan, melakukan tindakan berbahaya, biasanya dengan menginstal malware atau mengekstraksi data sensitif.

Ukraina’s CERT mengatakan bahwa Sandworm, unit hacking canggih di dalam GRU, badan intelijen militer Rusia, sekarang menggunakan teknik ini. Sandworm dikenal menggunakan teknik ini untuk menginfeksi perangkat dan mencuri data sensitif.

Penemuan

Serangan Clickfix dimulai pada musim semi dan berlanjut hingga musim panas. Kampanye ini telah menghasilkan kompromi jaringan setidaknya satu organisasi ketika perangkat yang terhubung ditemukan terinfeksi oleh FreakyPoll, nama dari salah satu paket malware khusus Sandworm. Otoritas Ukraina menemukan 10 situs web yang dikompromikan yang menampilkan perintah PowerShell sebagai bagian dari CAPTCHA palsu yang mengatakan bahwa perintah tersebut harus dijalankan untuk memastikan bahwa pengunjung adalah manusia nyata di balik keyboard perangkat.