Chiến Dịch Malware AsyncRAT: Nguy Cơ Từ Kỹ Thuật Clickfix

17/06/2025
2 mins read
Nội dung
Tổng Quan về Chiến dịch Malware AsyncRAT Sử dụng Kỹ thuật Clickfix
Chiến thuật và Kỹ thuật (TTPs)
Cơ sở hạ tầng (Infrastructure)
Chỉ số Nhiễm (Indicators of Compromise – IOCs)
Khuyến nghị Bảo mật (Recommendations)
Thông tin về Malware (Malware Family)
Nền tảng bị Nhắm mục tiêu (Exploited Platforms)
Ví dụ Thực tế (Real-World Example)

Tổng Quan về Chiến dịch Malware AsyncRAT Sử dụng Kỹ thuật Clickfix

Một chiến dịch malware mới đang được các tác nhân đe dọa (threat actors) triển khai để phát tán biến thể fileless của AsyncRAT, một Trojan truy cập từ xa (Remote Access Trojan) khét tiếng. Chiến dịch này sử dụng kỹ thuật Clickfix nhằm lừa người dùng thực thi các lệnh độc hại thông qua các chiến thuật lừa đảo tinh vi.

Chiến thuật và Kỹ thuật (TTPs)

Các tác nhân đe dọa sử dụng các chiến thuật sau để tấn công người dùng:

  • Lừa đảo (Deception): Hiển thị các thông báo xác minh giả mạo để người dùng thực thi lệnh độc hại.
  • Kỹ thuật xã hội (Social Engineering): Sử dụng hướng dẫn bằng tiếng Đức, ví dụ như “Drücke enter um deine identität zu bestätigen!” (Nhấn Enter để xác nhận danh tính của bạn!), nhằm đánh lừa người dùng.

Cơ sở hạ tầng (Infrastructure)

Chiến dịch này sử dụng một mạng lưới cơ sở hạ tầng rộng lớn, bao gồm nhiều địa chỉ IP trong dải 109.250.x.x. Malware thiết lập tính bền bỉ (persistence) thông qua việc chỉnh sửa Windows Registry và duy trì kết nối với các máy chủ điều khiển (command-and-control servers) qua cổng 4444.

Chỉ số Nhiễm (Indicators of Compromise – IOCs)

Dưới đây là các IOC liên quan đến chiến dịch AsyncRAT:

  • Lệnh thực thi (Command Execution):
    document.exeCommand('copy')

    Lệnh này được sử dụng để ghi một đoạn script độc hại vào clipboard của người dùng, sau đó dán vào hộp thoại ‘Run’ của Windows để khởi động quá trình lây nhiễm.

  • Các lệnh PowerShell (PowerShell Commands):
    mshta.exe
Certutil.exe

    Các lệnh này thường được sử dụng kết hợp với các script PowerShell để tải xuống và thực thi mã độc bổ sung.

Khuyến nghị Bảo mật (Recommendations)

Để giảm thiểu rủi ro từ chiến dịch malware này, các tổ chức và cá nhân nên áp dụng các biện pháp sau:

  • Đào tạo Người dùng (User Education): Nâng cao nhận thức của người dùng về nguy cơ từ các thông báo xác minh giả mạo và tầm quan trọng của việc kiểm tra kỹ lưỡng các thông báo như vậy.
  • Biện pháp Bảo mật (Security Measures): Triển khai các biện pháp bảo mật mạnh mẽ để phát hiện và ngăn chặn các cuộc tấn công malware fileless, bao gồm các công cụ phát hiện mối đe dọa nâng cao (advanced threat detection tools) và cập nhật phần mềm định kỳ.
  • Giám sát (Monitoring): Liên tục theo dõi hoạt động hệ thống để phát hiện các lệnh đáng ngờ và các thay đổi trong Windows Registry.

Thông tin về Malware (Malware Family)

Chiến dịch này triển khai AsyncRAT, một biến thể fileless với khả năng hoạt động mà không để lại dấu vết file trực tiếp trên hệ thống nạn nhân.

Nền tảng bị Nhắm mục tiêu (Exploited Platforms)

Chiến dịch đặc biệt nhắm đến người dùng nói tiếng Đức, cho thấy các trang phishing có thể được lưu trữ trên các domain giả mạo giống với trang hợp pháp hoặc trên các website hợp pháp bị xâm nhập.

Ví dụ Thực tế (Real-World Example)

Chiến dịch này đã hoạt động ít nhất từ tháng 4 năm 2025, sử dụng một mạng lưới cơ sở hạ tầng rộng lớn để phát tán malware AsyncRAT.