Malware yang dikenal sebagai Latrodectus telah menjadi yang terbaru untuk merangkul teknik rekayasa sosial yang banyak digunakan yang disebut ClickFix sebagai vektor distribusi.
“Teknik ClickFix sangat berisiko karena memungkinkan malware untuk dieksekusi dalam memori daripada ditulis ke disk,” kata Expel dalam laporan yang dibagikan dengan Hacker News. “Ini menghilangkan banyak peluang bagi browser atau alat keamanan untuk mendeteksi atau memblokir malware.”
Latrodectus, yang diyakini sebagai penerus ICEDID, adalah nama yang diberikan kepada malware yang bertindak sebagai pengunduh untuk muatan lain, seperti ransomware. Ini pertama kali didokumentasikan oleh Proofpoint dan Team Cymru pada April 2024.
Kebetulan, malware adalah salah satu di antara banyak perangkat lunak jahat yang menderita kemunduran operasional sebagai bagian dari Operation Endgame, yang menjatuhkan 300 server di seluruh dunia dan menetralkan 650 domain yang terkait dengan Bumblebee, Lactrodectus, Qakbot, Hijackloader, Danabot, Trickbot, dan Warmcookie antara 19 dan 22 Mei.
Dalam rangkaian serangan Latrodectus terbaru yang diamati oleh Expel pada Mei 2025, pengguna yang tidak curiga ditipu untuk menyalin dan melaksanakan perintah PowerShell dari situs web yang terinfeksi, sebuah taktik yang telah menjadi metode umum untuk mendistribusikan berbagai malware.
“Ketika dijalankan oleh pengguna, perintah ini akan mencoba menginstal file yang terletak di URL jarak jauh menggunakan Msiexec, dan kemudian menjalankannya dalam memori,” kata Expel. “Ini membuat penyerang tidak harus menulis file ke komputer dan berisiko terdeteksi oleh browser atau antivirus yang mungkin mendeteksinya pada disk.”
Penginstal MSI berisi aplikasi yang sah dari NVIDIA, yang digunakan untuk memuat DLL berbahaya, yang kemudian menggunakan Curl untuk mengunduh muatan utama.
Untuk mengurangi serangan jenis ini, disarankan untuk menonaktifkan program Windows Run menggunakan Objek Kebijakan Grup (GPO) atau mematikan kunci panas “Windows + R” melalui perubahan registri Windows.
Dari clickfix ke tiktok
Pengungkapan itu datang ketika tren mikro mengungkapkan rincian kampanye teknik baru yang alih -alih mengandalkan halaman captcha palsu menggunakan video Tiktok yang kemungkinan dihasilkan menggunakan alat kecerdasan buatan (AI) untuk mengirimkan vidar dan mencuri pencuri informasi dengan menginstruksikan pengguna untuk menjalankan perintah jahat pada sistem mereka untuk mengaktifkan Windows, Microsoft Office, Capcut, dan Capcut.
Video -video ini telah diposting dari berbagai akun Tiktok seperti @Gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc, dan @digitaldreams771. Akun ini tidak lagi aktif. Salah satu video yang mengklaim memberikan instruksi tentang cara “meningkatkan pengalaman Spotify Anda secara instan” telah mengumpulkan hampir 500.000 tampilan, dengan lebih dari 20.000 suka dan lebih dari 100 komentar.
Kampanye ini menandai eskalasi baru ClickFix di mana pengguna mencari cara untuk mengaktifkan aplikasi bajakan secara verbal dan visual dipandu untuk membuka dialog Windows Run dengan menekan tombol panas “Windows + R”, peluncuran PowerShell, dan menjalankan perintah yang disorot dalam video, pada akhirnya kompromi sistem mereka sendiri.
“Aktor ancaman sekarang menggunakan video Tiktok yang berpotensi dihasilkan menggunakan alat bertenaga AI untuk merekayasa pengguna secara sosial untuk mengeksekusi perintah PowerShell dengan kedok memandu mereka untuk mengaktifkan perangkat lunak yang sah atau membuka kunci fitur premium,” peneliti keamanan Junestherry Dela Cruz mengatakan.
“Kampanye ini menyoroti bagaimana penyerang siap untuk mempersenjatai platform media sosial mana pun yang saat ini populer untuk mendistribusikan malware.”
Aplikasi buku besar palsu digunakan untuk mencuri frasa benih pengguna mac
Temuan ini juga mengikuti penemuan empat kampanye malware berbeda yang memanfaatkan versi kloning dari aplikasi Ledger Live untuk mencuri data sensitif, termasuk frasa benih, dengan tujuan menguras dompet cryptocurrency korban. Kegiatan ini telah berlangsung sejak Agustus 2024.
Serangan memanfaatkan file DMG jahat yang, ketika diluncurkan, meluncurkan AppleScript untuk mengekspiltrate kata sandi dan data catatan apel, dan kemudian mengunduh versi ledger live yang trojanisasi. Setelah aplikasi dibuka, ia memperingatkan pengguna masalah akun yang seharusnya dan membutuhkan frasa benih mereka untuk pemulihan. Frasa benih yang dimasukkan dikirim ke server yang dikendalikan penyerang.
Moonlock Lab, yang menjelaskan kampanye tersebut, mengatakan aplikasi nakal memanfaatkan malware pencuri macOS seperti atom macos stealer (Amos) dan Odyssey, yang terakhir memperkenalkan skema phishing novel pada Maret 2025. Perlu dicatat bahwa kegiatan yang tumpang tindih dengan macOS infostealer kampanye yang menargetkan para pengguna LEDGER.
“Di forum web gelap, obrolan di sekitar skema anti-ledger tumbuh. Gelombang berikutnya sudah terbentuk,” kata Divisi Keamanan Siber MacPaw. “Peretas akan terus mengeksploitasi Trust Crypto Owners Place di Ledger Live.”
