Penjahat dunia maya dengan cepat beralih ke teknik penghindaran baru setelah tindakan keras Microsoft baru-baru ini terhadap lampiran email berbahaya. Hanya beberapa minggu setelah Outlook mulai memblokir file inline Scalable Vector Graphics (SVG), penyerang kini menyembunyikan malware di dalam data piksel gambar Portable Network Graphics (PNG), sebuah metode yang dikenal sebagai steganografi.
Peneliti keamanan di Huntress mengidentifikasi perubahan tersebut sebagai bagian dari kampanye “ClickFix”yang lebih luas, yang menggunakan rekayasa sosial untuk melewati perlindungan browser. Dengan menyematkan kode terenkripsi dalam saluran warna tertentu pada gambar yang tampaknya tidak berbahaya, pelaku ancaman dapat menghindari alat deteksi standar yang memindai ancaman berbasis skrip.
Meskipun “Operation Endgame,” sebuah tindakan penegakan hukum terkoordinasi yang menargetkan infrastruktur botnet awal bulan ini, kampanye ini tetap sangat aktif. Domain aktif yang menampung umpan baru berbasis PNG terus mendistribusikan infostealer Rhadamanthys, yang menunjukkan ketahanan kelompok tersebut terhadap upaya penghapusan.
Dari Skrip ke Piksel: Pergeseran Steganografi
Penyerang meninggalkan atau melengkapi skrip SVG berbasis XML dan mendukung steganografi PNG berbasis piksel. Pergeseran taktis ini berkorelasi langsung dengan keputusan Microsoft pada bulan Oktober untuk memblokir gambar SVG sebaris di Outlook untuk memerangi phishing.
Tidak seperti SVG, yang mengandalkan skrip berbasis teks yang mudah ditandai oleh filter, metode baru ini menyembunyikan kode berbahaya di dalam data visual gambar itu sendiri.
Dengan menggunakan algoritme khusus, pemuat menggunakan kembali struktur data gambar standar untuk menyembunyikan muatannya. Menjelaskan mekanisme sistem pengiriman muatan baru, Ben Folland dan Anna Pham, peneliti di Huntress, menjelaskan bahwa “kode berbahaya dikodekan langsung dalam data piksel gambar PNG, mengandalkan saluran warna tertentu untuk merekonstruksi dan mendekripsi muatan.”
Setelah diekstraksi, muatannya didekripsi dalam memori, melewati mekanisme deteksi berbasis disk. Jalur eksekusi hanya memori seperti ini sangat efektif terhadap sistem Endpoint Detection and Response (EDR), yang terutama memantau penulisan file ke disk.
Dengan menjaga kode berbahaya tetap bersifat sementara dan mudah berubah, penyerang secara signifikan mengurangi peluang untuk penangkapan forensik. Menyoroti tantangan forensik yang ditimbulkan oleh teknik ini, peneliti Huntress mencatat bahwa “penemuan penting selama analisis adalah penggunaan steganografi dalam kampanye untuk menyembunyikan tahapan akhir malware dalam sebuah gambar.”
Akhirnya, rakitan.NET dimuat secara reflektif untuk memasukkan muatan ke `explorer.exe`.
Perangkap’ClickFix’: Mempersenjatai Kepercayaan Pengguna
Memanfaatkan teknik yang dijuluki “ClickFix,” serangan ini meniru kesalahan Windows yang sah atau layar pembaruan. Korban disajikan dengan antarmuka”Pembaruan Windows”palsu yang tampaknya terhenti atau gagal. Untuk “memperbaiki” masalah ini, pengguna diinstruksikan untuk membuka dialog Windows Run (Win+R) dan menempelkan perintah.
Melewati eksploitasi teknis sepenuhnya, teknik ini memanfaatkan celah teknologi rendah dalam perilaku pengguna. Menggarisbawahi rendahnya hambatan masuk untuk eksploitasi ini, peneliti Huntress menyoroti kesederhanaan pendekatan ini.
JavaScript yang tertanam di halaman umpan secara otomatis mengisi clipboard dengan perintah berbahaya. Taktik seperti ini menghindari kontrol keamanan browser seperti SmartScreen, yang biasanya menandai download berbahaya namun bukan eksekusi perintah manual.
Untuk memitigasi vektor spesifik ini, administrator dapat menonaktifkan kotak Run melalui modifikasi registri menggunakan perintah berikut:
reg add”HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”/v NoRun/t REG_DWORD/d 1/f
Ketergantungan pada input pengguna manual menandai ini sebagai eksploitasi yang “berpusat pada manusia” dan bukan kerentanan teknis pada Windows.
Kerusakan Teknis: Di Dalam Loader
Memulai infeksi, sebuah Perintah `mshta.exe` dijalankan melalui kotak Run. Perintah ini mengambil file HTA jarak jauh, yang kemudian menjalankan skrip PowerShell. Setelah dieksekusi, skrip mendekripsi dan memuat rakitan.NET langsung ke memori. Analisis teknis Huntress memerinci proses pemuatan selanjutnya:
“Perakitan.NET tahap ke-3 bertindak sebagai pemuat untuk tahap ke-4, yang disimpan sebagai kode shell menggunakan steganografi dalam file PNG terenkripsi yang tertanam.”
“Kode C# untuk memfasilitasi injeksi kode shell juga disimpan terenkripsi dalam rakitan.NET itu sendiri dan dikompilasi ke dalam rakitan.NET lain, yang dimuat secara reflektif saat runtime.”
Donut, generasi kode shell alat, mengeksekusi payload akhir (Rhadamanthys atau LummaC2).
Analisis mengungkapkan penggunaan kode “trampolin” dengan ribuan pemanggilan fungsi kosong untuk menggagalkan upaya rekayasa balik. Pemuatan reflektif memastikan malware beroperasi hampir seluruhnya di memori, meninggalkan jejak forensik minimal pada disk.
Ketahanan Terhadap’Operation Endgame’
Meskipun ada penghapusan Operation Endgame yang terkenal pada pertengahan November, kampanye tetap aktif. Peneliti Huntress mengonfirmasi bahwa beberapa domain yang menghosting umpan Pembaruan Windows masih beroperasi.
Meskipun ada penghapusan yang terkoordinasi, pelaku ancaman tetap mempertahankan fungsinya. Mengonfirmasi keberlangsungan infrastruktur, Ben Folland dan Anna Pham mengamati bahwa “mulai 19 November, beberapa domain aktif… terus menjadi host halaman Lure Windows Update yang terkait dengan kampanye Rhadamanthys.”
Data ESET terbaru menunjukkan Peningkatan serangan ClickFix sebesar 500% pada Q4 tahun 2025, menunjukkan bahwa taktik ini semakin populer di kalangan penjahat dunia maya. Desentralisasi memungkinkan infrastruktur botnet mengatasi upaya penghapusan terpusat.
Kegigihan seperti itu menunjukkan keterbatasan tindakan penegakan hukum terhadap jaringan malware modern yang terdistribusi. Perputaran cepat, dari SVG ke PNG, dan dari satu server C2 ke server lainnya, menunjukkan ketangkasan operasional yang tinggi.
