Những kẻ tấn công mạng đã tìm ra phương pháp mới và tinh vi để khai thác sự phổ biến ngày càng tăng của các công cụ phát triển AI. Một chiến dịch gần đây đã sử dụng các trang giả mạo Claude Code và OpenAI Codex, được lưu trữ trên hạ tầng Google Sites đáng tin cậy, nhằm lừa người dùng thực thi các lệnh bí mật đánh cắp dữ liệu thông tin đăng nhập và các dữ liệu cá nhân nhạy cảm khác từ thiết bị của họ.
Chiến dịch này theo một kỹ thuật được gọi là ClickFix, nơi nạn nhân được hiển thị một trang cài đặt trông có vẻ hợp pháp và được yêu cầu thực hiện một lệnh ngắn. Không có tệp tin nào được tải xuống theo cách truyền thống. Thay vào đó, toàn bộ hoạt động độc hại diễn ra âm thầm trong bộ nhớ, khiến các công cụ bảo mật tiêu chuẩn khó phát hiện kịp thời.
Mối Đe Dọa Mạng: Chiến Dịch ClickFix nhắm mục tiêu công cụ AI
Các nhà phân tích tại ANY.RUN đã báo cáo về chiến dịch ClickFix đang hoạt động này, vốn giả mạo các công cụ AI phổ biến như Codex và Claude. Điểm đặc biệt của chiến dịch này là khả năng hòa nhập cao vào môi trường bình thường. Các trang Google Sites mang đến sự tin cậy của một tên miền Google hợp pháp, khiến hầu hết người dùng không ngần ngại làm theo hướng dẫn trên đó.
Sự kết hợp giữa nền tảng lưu trữ đáng tin cậy, mồi nhử thuyết phục và payload hoàn toàn trong bộ nhớ mang lại lợi thế đáng kể cho kẻ tấn công.
Cơ chế Kỹ thuật của ClickFix
Nạn nhân được điều hướng đến một trang Google Sites được thiết kế để trông giống như hướng dẫn cài đặt Claude Code hoặc Codex chính thức. Tại đó, họ được yêu cầu thực thi một lệnh mshta, một tiện ích tích hợp sẵn của Windows, để hoàn tất quá trình cài đặt.
Chỉ một hành động đó là đủ để khởi động toàn bộ chuỗi tấn công. Từ đó, một chuỗi lệnh PowerShell nhiều giai đoạn bắt đầu chạy ngầm.
Kỹ thuật Steganography trong Tấn công
Một trong những yếu tố kỹ thuật thú vị của chiến dịch này là việc sử dụng steganography (kỹ thuật giấu tin). Payload độc hại được ẩn bên trong một tệp hình ảnh và chỉ được trích xuất khi chạy.
Shellcode này sau đó được triển khai và thực thi hoàn toàn bên trong một tiến trình PowerShell đang chạy, không hề chạm vào ổ đĩa theo cách mà các công cụ chống vi-rút truyền thống có thể phát hiện.
Chuỗi thực thi diễn ra nhanh chóng và âm thầm. Lời dụ dỗ từ Google Sites dẫn đến lệnh mshta, kích hoạt quá trình dàn dựng PowerShell.
Sau đó, payload ẩn từ một hình ảnh được trích xuất và shellcode chạy trong bộ nhớ. Cuối cùng, dữ liệu trình duyệt, thông tin đăng nhập email và thông tin ví tiền điện tử bị thu thập và được đưa ra ngoài đến máy chủ do kẻ tấn công kiểm soát. Điều này minh họa một mối đe dọa đáng kể đối với an ninh mạng.
Khó khăn trong Phát hiện
Việc sử dụng steganography trong chiến dịch này phản ánh sự thay đổi rộng hơn trong cách kẻ tấn công thiết kế công cụ của họ. Bằng cách ẩn shellcode bên trong các pixel hình ảnh thay vì sử dụng các tệp thực thi độc lập, kẻ tấn công giảm thiểu số lượng dấu vết để lại trên máy nạn nhân. Các đội Security Operations Center (SOC) có rất ít dữ liệu để điều tra sau vụ việc.
Vì tiến trình độc hại chạy bên trong một chương trình Windows hợp pháp như PowerShell, các công cụ giám sát mạng có thể coi lưu lượng truy cập ra ngoài là hoạt động hoàn toàn bình thường. Mức độ ngụy trang hoạt động này là một phần khiến chiến dịch này đặc biệt khó phòng thủ nếu không có khả năng phát hiện dựa trên hành vi.
Bạn có thể tham khảo thêm về kỹ thuật giấu tin này tại Mishcon de Reya – Steganographic Techniques Observed in ClickFix Campaign.
Ảnh Hưởng và Rủi Ro Bảo Mật
Tác động của một cuộc tấn công mạng như vậy có thể rất nghiêm trọng. Dữ liệu bị đánh cắp dữ liệu bao gồm mật khẩu trình duyệt đã lưu, thông tin đăng nhập email và thông tin ví tiền điện tử, tất cả đều được gửi đến các máy chủ do kẻ tấn công kiểm soát.
Các nhà phát triển và chuyên gia thường xuyên làm việc với các công cụ mã hóa AI đặc biệt có nguy cơ cao, vì họ là những người có nhiều khả năng tuân theo hướng dẫn cài đặt qua dòng lệnh mà không ngần ngại.
Đây là một minh chứng rõ ràng về cách kẻ tấn công khai thác sự tin tưởng và thói quen của người dùng để thực hiện việc đánh cắp dữ liệu nhạy cảm.
Các chỉ số Nhận diện Tấn công (IOCs)
Tài liệu nguồn không bao gồm các hash tệp cụ thể, địa chỉ IP hoặc tên miền dưới dạng có thể trích xuất trực tiếp. Tuy nhiên, các phiên phân tích sandbox của ANY.RUN được tham chiếu trong nguồn cung cấp các dấu vết có thể theo dõi. Lưu ý rằng địa chỉ IP và tên miền được cố ý làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngẫu nhiên. Chỉ nên khôi phục chúng trong các nền tảng threat intelligence có kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Để tìm hiểu sâu hơn về phân tích sandbox, bạn có thể tham khảo báo cáo cụ thể tại ANY.RUN Analysis of ClickFix Campaign.
Biện pháp Phòng Ngừa và An Toàn Thông Tin
Các nhà nghiên cứu bảo mật khuyến nghị người dùng nên coi bất kỳ trang web nào yêu cầu sao chép và dán lệnh với mức độ nghi ngờ cao, ngay cả khi trang đó trông chính thức. Việc thực hiện các biện pháp phòng ngừa là rất quan trọng để đảm bảo an toàn thông tin của bạn.
Xác minh Nguồn Cài đặt Chính Thức
Người dùng luôn phải xác minh hướng dẫn cài đặt thông qua tài liệu chính thức của công cụ hoặc kho lưu trữ GitHub gốc của nó. Tránh làm theo các lời nhắc từ kết quả tìm kiếm hoặc các trang web không quen thuộc. Điều này giúp ngăn chặn các chiến dịch đánh cắp dữ liệu thông qua các nguồn giả mạo.
Triển khai Công cụ Phát hiện Dựa trên Hành vi
Các tổ chức nên triển khai các công cụ phát hiện điểm cuối (Endpoint Detection and Response – EDR) có khả năng phân tích hành vi. Những công cụ này có thể xác định hoạt động PowerShell đáng ngờ ngay cả khi không có tệp mã độc truyền thống nào được ghi vào ổ đĩa. Khả năng này cực kỳ quan trọng để chống lại các mối đe dọa mạng tinh vi như ClickFix, vốn được thiết kế để lẩn tránh các phương pháp phát hiện truyền thống.
Việc đầu tư vào các giải pháp an ninh mạng tiên tiến là cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công mạng ngày càng phức tạp.
Cảnh báo và Nhận thức
Sự gia tăng của các công cụ AI đã tạo ra một bề mặt tấn công mới cho những kẻ xấu. Người dùng và tổ chức cần phải cảnh giác cao độ và luôn cập nhật kiến thức về các kỹ thuật tấn công mới. Việc nâng cao nhận thức về rủi ro bảo mật là tuyến phòng thủ đầu tiên chống lại các chiến dịch phishing tinh vi như thế này.
Để duy trì một môi trường an toàn thông tin vững chắc, việc đào tạo người dùng và thực hiện các chính sách bảo mật nghiêm ngặt là điều không thể thiếu. Các cuộc tấn công mạng như chiến dịch ClickFix này đòi hỏi một cách tiếp cận bảo mật đa tầng, kết hợp công nghệ và nhận thức của người dùng.
Luôn kiểm tra kỹ lưỡng các nguồn tải xuống và hướng dẫn cài đặt để tránh trở thành nạn nhân của các vụ đánh cắp dữ liệu.
