How I Get Access ClickFix Dashboard Due to Bad SecOps

How I Get Access ClickFix Dashboard Due to Bad SecOps

Introduction

Sore itu salah satu rekan monitoring saya berguman terkait sebuah alert baru “ngapain nih user buka web crypto polygon”, saya langsung ketrigger dan berasumsi bahwa user membuka sebuah web yang telah terinfeksi oleh clickfix, asumsi ini diperkuat dengan informasi bahwa user tersebut bukan user IT yang paham terkait cyrptocurrency atau web3 dan ditambah beberapa waktu lalu ada user yang juga secara tidak sengaja membuka website yang terinfeksi oleh clickfix dan mendapatkan beberapa ioc termasuk koneksi ke web3 polygon yang digunakan oleh threat actor sebagai payload host

Baca juga: Infostealer Spreading Through Fake Google reCAPTCHA

Setelah melakukan investigasi terhadap alert tersebut, kami menemukan sebuah website bernama FlameAsia yang menampilkan error terkait ClickFix. Dari sana, kami mulai mengumpulkan beberapa Indicator of Compromised (IoC) tambahan dan menemukan sebuah link mencurigakan yang terhubung dengan campaign tersebut.

Karena penasaran, saya mencoba men-decode script ClickFix yang digunakan dan berhasil menemukan URL yang dipakai threat actor untuk mendistribusikan malware, yaitu https://mnepohui[.]sbs/.

Infected Web
Infected Web

Saat membuka link tersebut, saya mencoba melakukan scanning sederhana menggunakan ffuf untuk melihat apakah ada endpoint menarik yang terekspos. Dari hasil scanning, ditemukan sebuah panel login pada endpoint /login serta sebuah file backup PHP yang masih dapat diakses publik di api/index.php.bak.

Bak file Download
Bak file Download

Setelah mendapatkan sebagian source code dari file backup tersebut, saya mulai membaca beberapa bagian yang menarik. Karena file tersebut merupakan bagian dari API, terdapat cukup banyak fitur di dalamnya. Salah satu yang paling menarik adalah fitur upload file yang tidak memiliki validasi tipe file, sehingga memungkinkan untuk mengunggah file PHP secara langsung.

Source code for upload
Source code for upload

Fitur upload tersebut memang membutuhkan API key, namun API key tidak disimpan secara aman di file konfigurasi atau environment variable. Sebaliknya, key tersebut hardcoded langsung pada file yang sama, sehingga dapat ditemukan dengan mudah dari source code yang bocor. Dengan kondisi tersebut, percobaan upload web shell pun berhasil dilakukan.

Curl Upload
Curl Upload

Dengan memanfaatkan API key yang ditemukan pada source code, saya mencoba menggunakan curl untuk mengunggah backdoor Weevly melalui fitur upload yang rentan tersebut. Proses upload berhasil dilakukan dan memberikan akses langsung ke server, yang secara efektif membuat saya memiliki kontrol administratif terhadap infrastruktur ClickFix tersebut.

Baca juga: Hacking Phishing-as-a-Service

Weevly Backdoor Success
Weevely Backdoor Success

Karena penasaran, saya mencoba mendownload seluruh source code dari web tersebut. Namun proses archive terkendala timeout sehingga zip sering gagal dibuat. Untuk mengatasinya, saya membuat sedikit scripting agar proses archive bisa berjalan lebih stabil. Setelah file zip berhasil dibuat, langkah selanjutnya tinggal mendownload hasil archive tersebut.

Tree Files
Tree Files

Berikut beberapa tangkapan layar dashboard analytics yang mereka gunakan. Dashboard tersebut menampilkan berbagai informasi seperti jumlah download, source domain, proses infeksi malware yang berhasil dijalankan, serta beberapa data analytics lainnya terkait aktivitas campaign mereka.

Download Dashboard
Infected Dashboard
Analytics Dashboard

Beberapa saat kemudian, tampaknya threat actor menyadari ada pihak lain yang masuk ke sistem mereka. Setelah itu, backdoor yang saya tanam dihapus, file backup (.bak) ikut dihapus dan API key mereka di-rotate sehingga akses upload tidak lagi dapat digunakan.

Second Wave

Beberapa hari setelah saya menulis draft postingan ini, tepatnya pada Jumat, 15 Mei 2026, alert “user access crypto polygon” kembali muncul. Setelah dilakukan verifikasi, ternyata masih satu serangan ClickFix Campaign yang sama.

Yang menarik, threat actor tidak mengganti server maupun pola operasinya secara signifikan. Mereka hanya melakukan pergantian domain untuk melanjutkan aktivitasnya karena domain sudah redflag dan banyak direport serta mencoba menghindari deteksi, lalu mengganti ke domain baru bernama babybon[.]cfd.

Dari beberapa indikator yang ditemukan, pola komunikasi, response server, hingga konfigurasi tertentu masih identik dengan infrastruktur sebelumnya. Hal ini menunjukkan bahwa meskipun akses atau operasinya sempat terganggu, mereka masih terus melanjutkan campaign dengan metode yang hampir sama.

Karena masih penasaran, saya mencoba membaca kembali source code yang sebelumnya telah terambil dan baru menyadari bahwa terdapat API KEY telegram bot beserta chat idnya

Soruce Code Bot
Bot Telegram API KEY

Berdasarkan hasil ekstraksi, mereka menggunakan bahasa Russia sebagai bahasa komunikasi

Telegram Chat
Telegram Chat Translated

Dalam metode ClickFix ini, pelaku tidak hanya mencuri kredensial (creds), tetapi juga melakukan penyalahgunaan akses. Jika mereka menemukan kredensial WordPress, mereka akan membuat akun admin baru secara diam-diam dan melakukan injeksi script ClickFix pada website target, umumnya username admin yang dibuat akan diwali dengan adminbackup diikuti dengan random number serta menggunakan email [email protected]

Infected Hosts Admin List
Infected Host Administrator List

Baca juga: 7 Plugin Keamanan WordPress Terbaik untuk Meningkatkan WordPress Security

Karena sebelumnya saya sempat berhasil menemukan IP server ini melalui akses yang kini sudah dihapus, saya mencoba menelusuri ASN yang digunakan oleh server tersebut beserta beberapa IP lain yang berada dalam segmen yang sama. Dari hasil pengecekan, sebagian besar IP di ASN tersebut tampaknya digunakan untuk aktivitas mencurigakan seperti malware hosting, C2 panel, phishing page, loader distribution, hingga beberapa panel credential stealer lainnya.

Indicator Of Compromised

Berikut beberapa indikator yang ditemukan selama proses investigasi. Daftar ini mencakup domain yang digunakan dalam campaign serta sample hash payload yang berhasil diperoleh dari server terkait.

Domain

abrmot[.]pro
amalgama[.]lat
anakondabob[.]club
arigatodomen[.]sbs
babybon[.]cfd
bearman[.]bond
betalegenda[.]cfd
bigblower[.]click
biletors[.]cfd
birdybird[.]rest
bobik[.]cfd
bulletpop[.]cyou
burunduktracker[.]xyz
cal[.]magicalegyptwomen[.]com
chinabowl[.]club
chinarice[.]asia
chubrik[.]sbs
comicstar[.]lat
corppop[.]shop
cosmostars[.]shop
fesold[.]com
ganiballektor[.]cfd
gasshopper[.]sale
gdedengikarlos[.]cfd
hardenedom[.]shop
holopebamiy[.]bond
kaleda[.]pro
kaloed[.]pro
krolikrojer[.]lat
lenders[.]digital
lizablud[.]shop
mamkor[.]pro
mampodik[.]asia
marinaradom[.]cfd
mavpaprokla[.]lat
mebanebols[.]trade
megamegalodon[.]click
mekasa[.]pro
merindashop[.]cyou
misterslivker[.]asia
mistertwister[.]sale
mob[.]lanjut[.]in
moll[.]lanjut[.]in
momasites[.]lol
mylovedomen[.]asia
netblokirovka[.]asia
nihaoclub[.]asia
nowfoods[.]my
peachbro[.]bond
pilotkadomen[.]club
pinokros[.]xyz
pokese[.]pro
pringlesbob[.]cfd
pusanik[.]shop
sandman[.]bond
sandman[.]lat
slivkishow[.]asia
smackit[.]lat
smenapodik[.]bond
spartanec[.]lat
superboomer[.]world
thisismine[.]asia
zewaplus[.]club

SHA256

7158035cfc3cffc8aa23c9ba614a3ad512b30f4c18e60506a7057bed97eaf055  SettingSync.dll
ecd69b4afd4c1034972ac51ad08dd44824ac39fe5ce6c1d03fff1694d3cf2b80  cscript2.dll
3a6b7d2082763e9581fa59fb9e7f94a044ed1ef0fb073afdf0fd72f1c1a29b99  edputil.dll
e6185efd48faf9336f0d1e8b1ba0f5716a247767c60088e438a86f8bbf0cfe81  payload.exe
2a17bb42829c3dd3259a5471a5f26b1d51db281f5da7bf9ba3402acf12781185  swprv2.dll
4687ebe922ad8e87a624deabbb08cfda8ea515b29b301e3c0c3f44570117f171  vpncli.dll
64e54058d9cae020b51850d49e4b0365dd0a6d4d0aea877bd804ea8c02f899e5  wsqmcons.dll

Email

adminbackup[@]wordpress[.]org

Final Thoughts

Investigasi ini menunjukkan bahwa campaign ClickFix tidak hanya mencuri kredensial, tetapi juga menyalahgunakan akses untuk memperluas infeksi secara agresif layaknya worm. Ketika threat actor memperoleh kredensial WordPress mereka langsung membuat akun admin baru secara diam-diam (umumnya menggunakan pola adminbackup[random]) lalu menyisipkan script ClickFix ke website korban untuk melanjutkan distribusi malware lanjutan.

Kasus ini juga memperlihatkan bagaimana bad SecOps seperti exposed backup file, hardcoded API key dan validasi upload yang lemah dapat membuka akses lebih jauh ke infrastruktur mereka maupun korban.

Untuk mitigasi, organisasi disarankan segera:

  • Mengaktifkan MFA pada WordPress, hosting panel, VPN maupun akses umum lainnya.
  • Melakukan audit akun administrator mencurigakan.
  • Memeriksa IOC dan domain terkait campaign.
  • Melakukan patching dan monitoring login secara rutin.

Satu kredensial yang bocor dapat menjadi titik awal kompromi berantai ke banyak website lain.

Perlu dicatat bahwa aktivitas threat actor dalam campaign ini masih berlangsung hingga saat ini dan kemungkinan besar akan terus bersifat masif, mengingat metode, infrastruktur, dan fitur yang mereka gunakan masih aktif dan terus digunakan untuk mendukung distribusi malware.