Permintaan sederhana untuk menghapus latar belakang foto selfie kini bisa berubah menjadi pintu masuk serangan siber. Peneliti keamanan siber menemukan bahwa sejumlah situs edit foto palsu memanfaatkan teknik ClickFix untuk mendorong korban menjalankan malware sendiri di perangkatnya.
Yang membuat skema ini berbahaya adalah tampilannya yang meyakinkan. Situs-situs tersebut dipoles dengan manipulasi SEO agar mudah muncul di hasil pencarian, sehingga terlihat seperti layanan edit foto yang sah dan praktis digunakan.
Korban biasanya tidak langsung curiga karena datang dengan tujuan yang umum, yaitu ingin proses edit yang cepat. Setelah mengunggah foto, mereka diminta melakukan verifikasi bahwa dirinya manusia, padahal foto itu tidak benar-benar diproses, tidak diunggah, dan tidak dibagikan.
Di tahap inilah jebakan bekerja. Permintaan verifikasi itu justru mengarahkan pengguna untuk membuka Windows Run lalu menempelkan perintah dari clipboard, yang kemudian mengeksekusi kode berbahaya di perangkat sendiri.
Begitu instruksi dijalankan, perangkat dapat terinfeksi CastelLoader. Malware ini berperan mengirimkan muatan tambahan dan membuka jalan bagi malware tahap kedua.
Muatan lanjutan yang disebut dalam temuan itu mencakup NetSupport RAT dan CastleStealer. NetSupport RAT digunakan untuk menyerang sistem terinfeksi dari jarak jauh, sedangkan CastleStealer dirancang mencuri kredensial peramban, data dompet kripto, token Discord, dan file sesi Telegram.
Ancaman ini tidak berhenti pada satu aplikasi atau satu perangkat. Data yang dicuri bisa dipakai untuk mengambil alih akun serta akses digital lain, sehingga dampaknya berpotensi meluas ke berbagai layanan yang terhubung.
Skema semacam ini efektif karena memanfaatkan kebiasaan pengguna yang terbiasa mengikuti instruksi dari layanan online. Saat sebuah situs meminta langkah yang tidak lazim, sebagian orang bisa saja menganggapnya sebagai prosedur normal dan melanjutkan tanpa waspada.
Risiko terbesar justru muncul saat verifikasi yang tampak rutin itu dijalankan. Pada momen tersebut, perintah berbahaya masuk ke perangkat dan malware mulai bekerja tanpa perlu korban menyadarinya.
Karena itu, layanan yang kredibel semestinya tidak meminta pengguna membuktikan bukan bot dengan membuka Run dan menempelkan perintah. Administrator juga dapat mematikan pintasan Win + R untuk Run agar peluang menjalankan kode berbahaya bisa ditekan.
Kewaspadaan penting ditingkatkan ketika situs edit foto meminta tindakan yang tidak biasa dan tidak sesuai pola layanan yang umum dipakai. Permintaan verifikasi yang aneh sebaiknya diperlakukan sebagai sinyal bahaya, bukan langkah teknis yang harus diikuti.
Source: www.cnbcindonesia.com
