Ancaman siber baru dari varian ClickFix yang berevolusi kini menargetkan pengguna peramban Chrome dan Edge. Peretas menggunakan ekstensi palsu bernama NexShield untuk melumpuhkan peramban, kemudian menginstal malware ModeloRAT yang memberikan akses penuh ke perangkat korban.

Evolusi Serangan ClickFix yang Makin Canggih

Sebelumnya, serangan ClickFix umumnya berupa pop-up pada halaman web atau dokumen palsu (.docx/.pdf) yang meminta korban menyalin perintah ke program Windows Run. Korban diyakinkan bahwa mereka tidak dapat melihat konten atau membuka dokumen sampai mereka “memperbaiki” masalah tersebut dengan menjalankan perintah yang diberikan.

Liputan informatif lainnya tersedia di Mureks. mureks.co.id

Namun, para ahli memperingatkan bahwa varian terbaru ini telah berevolusi. Alih-alih hanya menipu korban agar percaya ada masalah, ClickFix kini menciptakan masalah nyata yang harus “diperbaiki” oleh pengguna.

Modus Operandi NexShield dan KongTuke

Varian terbaru ini berpusat pada add-on pemblokir iklan palsu untuk Chrome dan Edge, yang dinamakan NexShield. Ekstensi berbahaya ini dikembangkan oleh aktor ancaman yang dikenal sebagai KongTuke. Skema ini cukup rumit, melibatkan situs web khusus yang memalsukan repositori peramban, bahkan malware-nya sempat hadir di toko resmi.

NexShield juga mengklaim dibuat oleh Raymond Hill, pengembang di balik uBlock Origin, pemblokir iklan sah yang digunakan oleh 14 juta pengguna. Untuk menghindari pelacakan, aktivitas berbahaya dimulai satu jam setelah instalasi ekstensi.

Setelah waktu tersebut, malware menciptakan kondisi denial-of-service (DoS) yang menyebabkan peramban lumpuh dan memaksa pengguna membuka Task Manager untuk memulai ulang secara manual. Saat peramban dihidupkan ulang, add-on palsu tersebut menampilkan pesan kesalahan dan, seperti modus ClickFix sebelumnya, menawarkan solusi.

Instalasi ModeloRAT dan Akses Penuh ke Perangkat

Solusi yang ditawarkan adalah menyalin dan menempelkan perintah ke Windows Command Prompt. Perintah inilah yang kemudian mengunduh dan menginstal ModeloRAT, sebuah trojan akses jarak jauh (RAT) yang memberikan akses penuh kepada peretas ke perangkat yang terinfeksi.

Peneliti keamanan dari Huntress, yang pertama kali mendeteksi serangan ini pada 20 Januari 2026, menyatakan bahwa KongTuke menargetkan pengguna korporat. Meskipun saat ini individu dan pengguna pribadi belum menjadi sasaran utama, Huntress memperingatkan bahwa serangan ini, yang juga dikenal sebagai CrashFix, dapat menargetkan lebih banyak orang di masa mendatang.

Mureks mencermati adanya peningkatan modus serangan siber yang semakin canggih, menuntut kewaspadaan lebih dari pengguna internet dalam mengelola ekstensi peramban dan sumber unduhan.