Kelompok ransomware LeakNet kini menggunakan teknik baru bernama ClickFix sebagai metode awal untuk menyerang korban. Alih-alih memakai kredensial curian, attacker memanfaatkan website yang sudah diretas untuk menampilkan CAPTCHA palsu dan meminta korban menjalankan perintah berbahaya seperti msiexec.exe. Cara ini terlihat “normal” bagi pengguna, sehingga lebih mudah mengecoh tanpa menimbulkan kecurigaan.

Setelah berhasil masuk, serangan berlanjut dengan loader berbasis Deno JavaScript runtime yang berjalan langsung di memori. Teknik ini membuat malware sulit terdeteksi karena hampir tidak meninggalkan jejak di disk. Payload kemudian mengidentifikasi sistem korban, mengambil malware lanjutan dari server eksternal, dan menjalankan perintah tambahan secara berkala.

Menariknya, LeakNet kini tidak lagi bergantung pada broker akses awal (IAB), sehingga serangan bisa dilakukan lebih cepat dan dalam skala lebih luas. Selain itu, penggunaan website sah yang telah disusupi membuat aktivitas berbahaya lebih sulit dideteksi di level jaringan.

Setelah sistem berhasil dikompromi, LeakNet menjalankan pola serangan yang konsisten: memuat DLL berbahaya, melakukan lateral movement menggunakan tools seperti PsExec, mencuri data, lalu mengenkripsi sistem. Data hasil curian sering disimpan di layanan cloud seperti S3 untuk menyamarkan aktivitas sebagai trafik normal.

Kesimpulan: kombinasi social engineering (ClickFix) dan eksekusi in-memory (Deno) menjadikan serangan LeakNet semakin sulit dideteksi. Untuk mitigasi, organisasi perlu meningkatkan awareness pengguna, membatasi eksekusi command manual, serta memonitor aktivitas mencurigakan di endpoint dan jaringan secara lebih ketat.

Source: https://thehackernews.com/2026/03/leaknet-ransomware-uses-clickfix-via.html