Waspada: Kampanye ClickFix Baru Menargetkan Pengguna WordPress

Dalam beberapa minggu terakhir, peneliti keamanan siber menemukan gelombang serangan terkoordinasi yang membidik situs WordPress dengan menyuntikkan JavaScript berbahaya. Tujuan serangan ini sederhana namun berbahaya: mengarahkan pengunjung ke halaman phishing bergaya “ClickFix” yang dibuat untuk menipu korban agar menjalankan perintah yang kemudian mengunduh atau memasang malware. Dampaknya nyata — pengguna bingung, data terekspos, dan reputasi situs yang diretas hancur.

Awal Serangan: Injeksi ke File Tema (functions.php)

Salah satu jalur serangan yang sering dipakai adalah memasukkan kode berbahaya ke dalam file tema WordPress, terutama functions.php. Begitu kode itu ada, setiap pemuatan halaman berpotensi memicu pemanggilan skrip pihak ketiga yang tampak wajar tetapi berfungsi sebagai loader jarak jauh.

Dalam kampanye terbaru, kode yang disisipkan menyamarkan dirinya sebagai referensi iklan (misalnya menyebut Google Ads) namun sesungguhnya mengirim permintaan HTTP POST ke domain berbahaya (contoh: brazilc[.]com). Respon dari domain tersebut kemudian mengembalikan payload dinamis, termasuk:

File JavaScript jarak jauh (mis. porsasystem[.]com/6m9x.js) yang berisi logika pengalihan (redirect) yang sudah ditemukan tersebar di banyak situs.
Potongan skrip yang membuat iframe tersembunyi ukuran 1×1 dan menyisipkan kode yang meniru aset layanan CDN (mis. cdn-cgi/challenge-platform/scripts/jsd/main.js) untuk memberi tampilan “verifikasi” yang sah.

Meniru aset CDN bukan sekadar tiruan visual — itu dimaksudkan agar halaman phishing tampak seperti tantangan verifikasi browser yang sah sehingga korban lebih percaya dan bersedia mengikuti instruksi.

IUAM ClickFix Generator: Kit Phishing yang Memudahkan Pelaku

Salah satu temuan penting oleh peneliti (termasuk tim Unit 42) adalah keberadaan IUAM ClickFix Generator — sebuah kit phishing yang dipasarkan di ekosistem bawah tanah. Fungsinya mempermudah pembuatan halaman ClickFix palsu, dengan fitur seperti:

Pembuatan landing page yang menyerupai tantangan CDN/cloud (seperti Cloudflare).
Opsi kustomisasi untuk membuat umpan lebih meyakinkan.
Kemampuan memanipulasi clipboard korban (bagian penting dari teknik ClickFix).
Deteksi sistem operasi korban untuk menyesuaikan payload atau malware yang dikirim.

Akibatnya, pelaku dengan kemampuan teknis minim sekalipun bisa meluncurkan serangan yang cukup canggih. Microsoft juga memperingatkan adanya peningkatan builder ClickFix sejak akhir 2024, termasuk klaim beberapa kit yang dapat mengelabui perlindungan seperti Microsoft Defender SmartScreen.

Cache Smuggling: Teknik Sulit Dideteksi

Yang lebih mengkhawatirkan adalah teknik “cache smuggling” (penyelundupan cache). Alih-alih mengunduh file berbahaya secara langsung, penyerang memanfaatkan cache browser untuk menyimpan “file” yang tampak aman (mis. image/jpeg) padahal isinya payload terkompresi (mis. ZIP) yang kelak diekstrak oleh skrip di sistem korban.

Skema ringkasnya:

Pengunjung diarahkan ke halaman phishing yang menyisipkan data berbahaya ke cache browser.
Korban dimanipulasi — misalnya diminta menempelkan perintah di Command Prompt atau PowerShell — sehingga skrip berjalan melalui conhost.exe.
Skrip itu kemudian mengekstrak konten yang disamarkan sebagai gambar, membuat scheduled task, dan menghubungkan kembali ke server command-and-control.

Keuntungan bagi pelaku: tidak ada file berbahaya yang tampak diunduh, sehingga deteksi oleh antivirus tradisional atau monitoring berbasis file menjadi lebih sulit.

Malware yang Sering Dipakai dan Dampaknya

Halaman ClickFix dari kit semacam itu digunakan untuk menyebarkan information stealers seperti DeerStealer, serta stealer lain yang menargetkan macOS (contoh: Odyssey Stealer). Setelah terinfeksi, perangkat korban dapat kehilangan kredensial, cookie sesi, berkas penting, dan data sensitif lain.

Bagi pemilik situs WordPress, konsekuensinya berat: situs bisa menjadi pintu masuk serangan, kehilangan kepercayaan pengunjung, dan berisiko masuk daftar hitam oleh layanan keamanan atau mesin pencari.

Langkah Praktis untuk Pemilik WordPress

Untuk memperkecil risiko, lakukan langkah-langkah berikut:

Selalu perbarui inti WordPress, tema, dan plugin ke versi terbaru.
Pasang plugin keamanan dan WAF (Web Application Firewall); gunakan scanner file dan plugin yang memantau perubahan file (terutama functions.php).
Periksa integritas tema dengan membandingkan file tema dengan versi resmi; cari perubahan mencurigakan pada functions.php.
Audit akun admin: hapus akun tak dikenal dan aktifkan autentikasi dua faktor (2FA) untuk semua admin.
Gunakan kata sandi kuat dan unique untuk setiap pengguna; pertimbangkan penggunaan password manager.
Backup rutin dan simpan cadangan di lokasi terpisah; uji proses pemulihan secara berkala.
Batasi akses file dan terapkan permission ketat; nonaktifkan editor tema/plugin di dashboard bila perlu.
Pantau trafik dan log: waspadai lonjakan rujukan (referrer), permintaan POST yang tidak biasa, dan skrip pihak ketiga yang mencurigakan.
Gunakan CSP dan SRI (Content Security Policy dan Subresource Integrity) untuk mengurangi kemungkinan injeksi skrip tak sah.
Edukasi tim dan pengguna agar tidak mengikuti instruksi verifikasi palsu dan menghindari menempelkan perintah yang diminta situs.

Jika Situs Terlanjur Terinfeksi — Tindakan Cepat

Putuskan akses publik (mode pemeliharaan), ganti semua kata sandi admin, dan reset kunci API.
Pulihkan dari backup bersih yang sudah diverifikasi.
Scan dan bersihkan semua file tema/plugin yang telah dimodifikasi (periksa functions.php secara teliti).
Hapus akun admin mencurigakan dan cek log aktivitas.
Laporkan insiden ke penyedia hosting dan, bila perlu, ke otoritas terkait.
Segera update semua komponen dan pasang monitoring berkelanjutan.

Dengan menerapkan praktik keamanan yang konsisten dan melakukan pemeriksaan proaktif, risiko serangan ClickFix dapat dikurangi signifikan. Jangan menunggu sampai terjadinya pelanggaran — periksa situs Anda sekarang juga dan pastikan tidak ada titik lemah yang bisa dieksploitasi.