Các đối tượng độc hại đang tích cực khai thác sự hứng thú đối với các công cụ lập trình AI bằng cách nhắm mục tiêu vào người dùng tìm kiếm hướng dẫn cài đặt Claude Code. Một chiến dịch tấn công mạng đang diễn ra sử dụng các trang cài đặt giả mạo để lén lút đánh cắp thông tin đăng nhập từ các nạn nhân không nghi ngờ.
Mục tiêu và Kỹ thuật Lừa đảo
Lợi dụng Sự Hào hứng với Công cụ AI
Chiến dịch này được thiết kế để nhắm vào một đối tượng rất cụ thể. Thay vì nhắm mục tiêu vào các chuyên gia IT, nó tập trung vào các nhà phát triển mới hoặc người dùng không chuyên về kỹ thuật.
Những người này thường hào hứng với một công cụ mới và không có kinh nghiệm để nhận diện quy trình cài đặt thực sự. Điều này khiến họ dễ dàng làm theo hướng dẫn mà không đặt câu hỏi.
Kỹ thuật Thao túng Kết quả Tìm kiếm (SEO Poisoning)
Những kẻ tấn công đã sử dụng kỹ thuật SEO poisoning để đẩy một trang cài đặt Anthropic giả mạo lên đầu các kết quả tìm kiếm. Khi người dùng truy cập trang này, cạm bẫy đã được thiết lập.
Trang web giả mạo này được ngụy trang cẩn thận để trông giống như trang cài đặt chính thức. Mục đích là để lừa người dùng tin rằng họ đang tải xuống phần mềm hợp pháp.
Phương pháp ClickFix và Lệnh MSHTA
Khi người dùng truy cập trang giả mạo, họ sẽ được hướng dẫn mở hộp thoại Windows Run và dán một lệnh mshta.exe đã được chuẩn bị sẵn. Lệnh này được trình bày như một bước bắt buộc trong quá trình cài đặt.
Đây là phương pháp ClickFix, một kỹ thuật kỹ thuật xã hội tinh vi. Nó ngụy trang các lệnh MSHTA do kẻ tấn công kiểm soát thành các bước thiết lập thông thường.
Việc thực thi lệnh mshta.exe qua hộp thoại Run cho phép kẻ tấn công vượt qua nhiều biện pháp bảo mật dựa trên tệp. Nó khai thác sự tin tưởng của người dùng vào các bước hướng dẫn cài đặt.
Kỹ thuật này đã được quan sát thấy trong các chiến dịch khác, nhấn mạnh tính hiệu quả của nó trong việc lừa đảo người dùng thực thi mã độc. Để hiểu rõ hơn về kỹ thuật này, bạn có thể tham khảo thêm về các chiến dịch lừa đảo sử dụng kỹ thuật xã hội.
Diễn biến Kỹ thuật của Cuộc Tấn công mạng
Chuỗi phân phối mã độc trong chiến dịch tấn công mạng này bao gồm sáu giai đoạn. Điều đáng chú ý là nó gần như hoàn toàn không để lại dấu vết trên đĩa (fileless) sau bước đầu tiên.
Chuỗi tấn công được thiết kế để né tránh các công cụ kiểm tra tệp, quét AMSI, dữ liệu từ xa của EDR, phân tích hộp cát (sandbox analysis) và đối sánh IOC ở mọi lớp.
Giai đoạn 1: Tải về Payload Polyglot
Giai đoạn 1 bắt đầu khi lệnh mshta.exe truy xuất một payload đa định dạng (polyglot) MP3/HTA dung lượng 6.7 MB. Payload này được tải từ miền download.version-516[.]com/claude.
Tệp này có khả năng vượt qua các lần quét bảo mật bằng cách hiển thị như một tệp âm thanh có thể phát được. Tuy nhiên, nó lại ẩn chứa một khối mã script HTA có thể thực thi bên trong.
Khi mshta.exe xử lý tệp, nó bỏ qua phần âm thanh và thực thi script ẩn. Các công cụ bảo mật kiểm tra tiêu đề tệp sẽ chỉ thấy một tệp MP3 hợp lệ, thay vì một mối đe dọa.
Giai đoạn 2: Khởi tạo PowerShell và Né tránh Bảo mật
Giai đoạn 2 sử dụng script HTA để đăng ký một tác vụ đã lên lịch thông qua đối tượng COM. Từ đó, nó khởi tạo một tiến trình PowerShell 32-bit.
Việc nhắm mục tiêu vào mã nhị phân 32-bit là có chủ đích. Bởi vì các giải pháp EDR thường tập trung hơn vào hoạt động 64-bit, giúp mã độc né tránh sự phát hiện hiệu quả hơn.
Script thực hiện một số hành động quan trọng như bỏ qua AMSI (Antimalware Scan Interface). Ngoài ra, nó còn giải mã RC4 và lấy dấu vân tay của nạn nhân thông qua hàm băm MD5 của máy tính và tên người dùng.
Giai đoạn 3: Tải Script Obfuscated Trong Bộ nhớ
Giai đoạn 3 tiếp theo là việc truy xuất một script bị che giấu (obfuscated) có dung lượng 17 MB vào bộ nhớ. Script này được tải từ một subdomain duy nhất trên miền oakenfjrod[.]ru.
Việc tải script trực tiếp vào bộ nhớ đảm bảo rằng không có tệp nào được ghi vào ổ đĩa. Điều này tiếp tục củng cố đặc tính fileless của cuộc tấn công, làm cho việc phát hiện dựa trên chữ ký tệp trở nên khó khăn.
Payload Cuối cùng: Infostealer .NET Fileless
Giai đoạn cuối cùng là một infostealer (mã độc đánh cắp thông tin) .NET hoạt động hoàn toàn bên trong không gian địa chỉ của tiến trình PowerShell hiện có. Nó không tạo ra bất kỳ tệp vật lý nào trên đĩa.
Đồng thời, mã độc cũng không khởi tạo tiến trình mới hay tạo sự kiện tải hình ảnh (image-load event). Điều này khiến các hệ thống phòng thủ khó có thể dựa vào các dấu hiệu thông thường để nhận diện sự xâm nhập.
Phương pháp tải của infostealer này phản ánh các kỹ thuật được sử dụng bởi các công cụ nâng cao như Cobalt Strike. Tuy nhiên, nó được thực thi hoàn toàn từ PowerShell, cho thấy sự tinh vi trong việc né tránh các giải pháp bảo mật.
Bạn có thể tìm hiểu thêm về các kỹ thuật của Cobalt Strike trong các bài viết phân tích mã độc.
Mã độc infostealer này sử dụng HTTPS để gửi thông tin về máy chủ điều khiển và kiểm soát (C2). Nó cũng thực hiện hành vi đánh cắp thông tin đăng nhập tới địa chỉ 185[.]177[.]239[.]255:443.
Dữ liệu đo từ xa SensitiveFileRead đã xác nhận việc truy cập vào kho lưu trữ thông tin đăng nhập của trình duyệt trong quá trình thực thi. Điều này khẳng định mục đích chính của mã độc là đánh cắp các tài khoản nhạy cảm.
Các nền tảng EDR có khả năng hiển thị hoạt động tải assembly .NET có thể phát hiện loại tấn công này. Đây là điểm mà các biện pháp kiểm soát dựa trên tệp truyền thống không thể thực hiện được.
Hậu quả và Rủi ro Rò rỉ Dữ liệu
Hậu quả của một cuộc lây nhiễm thành công là vô cùng nghiêm trọng. Các thông tin đăng nhập bị đánh cắp, tài khoản bị rút cạn và danh tính bị xâm phạm là những kết quả thực tế mà đơn vị nghiên cứu Howler Cell của Cyderes đã cảnh báo trong phân tích của họ.
Rất nhiều nạn nhân của chiến dịch này không có các biện pháp kiểm soát bảo mật cấp doanh nghiệp. Điều này khiến họ hoàn toàn dễ bị tổn thương khi gặp phải một trang tải xuống giả mạo.
Điều quan trọng cần lưu ý là Anthropic (nhà phát triển Claude Code) không bị xâm phạm. Thương hiệu của họ chỉ đơn thuần bị giả mạo để lừa đảo người dùng.
Sự gia tăng các vụ rò rỉ dữ liệu nhạy cảm đang trở thành một thách thức lớn. Nó đòi hỏi các cá nhân và tổ chức phải nâng cao cảnh giác và áp dụng các biện pháp bảo mật chủ động.
Các Chỉ số Nhận dạng Sự cố (IOCs)
Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) là những dấu hiệu quan trọng để phát hiện và ngăn chặn cuộc tấn công này. Việc theo dõi và chặn các IOCs này là cần thiết để bảo vệ hệ thống.
- Miền (Domains):
download.version-516[.]comoakenfjrod[.]ru(bất kỳ subdomain nào)
- Địa chỉ IP (IP Addresses):
185[.]177[.]239[.]255(máy chủ C2)
Lưu ý: Các địa chỉ IP và tên miền được cố ý làm sai lệch (ví dụ: [.] thay vì .) để ngăn chặn việc phân giải hoặc siêu liên kết ngẫu nhiên. Chỉ phục hồi chúng trong các nền tảng thông tin tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Biện pháp Phòng ngừa và Phát hiện Tấn công mạng
Các nhà phòng thủ cần coi bất kỳ trang cài đặt Claude Code nào yêu cầu dán lệnh vào hộp thoại Run là một sự kiện lây nhiễm tiềm tàng. Luôn kiểm tra kỹ nguồn gốc của các hướng dẫn cài đặt.
Việc chặn các kết nối HTTPS đi của mshta.exe có thể bao phủ Giai đoạn 1 của cuộc tấn công, bất kể việc che giấu mã độc. Đây là một biện pháp phòng thủ mạnh mẽ ở cấp độ mạng.
Các truy vấn DNS đến bất kỳ subdomain nào của oakenfjrod[.]ru là một chỉ số mạnh mẽ của sự xâm nhập. Việc chặn tên miền đại diện (wildcard domain blocking) hiệu quả hơn nhiều so với việc chỉ đối sánh từng IOC subdomain cụ thể.
Tăng cường khả năng hiển thị của nền tảng EDR đối với việc tải assembly .NET là cần thiết. Điều này giúp phát hiện các mã độc fileless như infostealer được mô tả, mà các kiểm soát dựa trên tệp truyền thống có thể bỏ lỡ.
