Các nhà nghiên cứu an ninh mạng đã phát hiện một biến thể mới của **tấn công ClickFix**, mạo danh nội dung tin tức của BBC và lợi dụng giao diện xác minh Cloudflare Turnstile giả mạo. Mục tiêu chính của cuộc tấn công này là lừa người dùng thực thi các lệnh PowerShell độc hại. Chiến dịch này, được phân tích chi tiết bởi Cybersecurity News và ESET, khai thác sự quen thuộc của người dùng với các giao thức bảo mật web hợp pháp để phân phối nhiều loại payload mã độc, bao gồm các công cụ đánh cắp thông tin (infostealer), mã độc tống tiền (ransomware) và trojan truy cập từ xa (RAT).
Thiết kế của cuộc tấn công **ClickFix** này bỏ qua các giải pháp phát hiện điểm cuối thông thường bằng cách dựa vào việc người dùng tự khởi tạo thực thi lệnh. Điều này làm nổi bật xu hướng chuyển dịch sang các vector khai thác tập trung vào con người, vốn có khả năng né tránh các hệ thống phòng thủ dựa trên chữ ký.
Cơ chế Hoạt động của Cuộc tấn công ClickFix
Điểm khởi đầu và Mồi nhử
Cơ chế hoạt động của **mối đe dọa mạng** này bắt đầu bằng các điểm vào lừa đảo, chẳng hạn như kết quả tìm kiếm bị thao túng hoặc quảng cáo trực tuyến. Các yếu tố này chuyển hướng nạn nhân đến một cổng tin tức BBC được nhân bản tỉ mỉ. Trang web giả mạo này kết hợp các bài viết bị đánh cắp từ các nguồn xác thực, tạo ra ảo giác đáng tin cậy, khiến người dùng tương tác trong thời gian dài.
Giả mạo Xác minh Cloudflare Turnstile
Khi người dùng điều hướng trên trang web, một thử thách bảo mật giả lập được kích hoạt, bắt chước quy trình xác minh của Cloudflare. Giao diện này hoàn chỉnh với bản sao chính xác của logo, Ray ID và các thuật ngữ tiếp thị được lấy trực tiếp từ tài liệu chính thức của Cloudflare. Người dùng được nhắc nhấp vào hộp kiểm “Verify you are human”. Thao tác này sẽ sao chép một script PowerShell được mã hóa Base64 vào clipboard hệ thống một cách bí mật.
Kỹ thuật Thực thi Lệnh
Các hướng dẫn tiếp theo sẽ dẫn dụ nạn nhân mở hộp thoại Windows Run thông qua tổ hợp phím Windows + R. Sau đó, họ được yêu cầu dán nội dung từ clipboard bằng Ctrl + V và thực thi bằng cách nhấn Enter. Thao tác này vô tình cài đặt các loại mã độc như Lumma Stealer, DarkGate, AsyncRAT hoặc NetSupport. Phương pháp này tận dụng hành vi phản xạ của người dùng nhằm giải quyết các rào cản kỹ thuật rõ ràng, khiến nó có hiệu quả cao ngay cả với những cá nhân có kiến thức kỹ thuật.
Các Biến thể và Mục tiêu của Tấn công ClickFix
Sự Phát triển và Tác động
Trong suốt năm 2024 và đến năm 2025, các cuộc **tấn công ClickFix** đã gia tăng đáng kể. ESET báo cáo mức tăng 517% trong nửa đầu năm 2025, đưa kỹ thuật này trở thành vector tấn công phổ biến thứ hai sau lừa đảo (phishing) và chiếm gần 8% các sự cố bị chặn.
Đa dạng Mục tiêu và Mạo danh
Thành công của kỹ thuật này đến từ sự thao túng tâm lý, khai thác sự cấp bách muốn truy cập nội dung từ các thực thể có thẩm quyền như các hãng tin tức hoặc dịch vụ bảo mật. Các biến thể đã mở rộng không chỉ mạo danh BBC mà còn bắt chước Microsoft, Google Chrome và phần mềm chuyên dụng trong ngành. Điều này đa dạng hóa cơ chế phân phối và nhắm mục tiêu vào các lĩnh vực dễ bị tổn thương bởi các mồi nhử tùy chỉnh.
Phân phối Mã độc Đa dạng
Sự đa dạng của mã độc tiếp tục khuếch đại mối đe dọa, bao gồm cả các công cụ đào tiền điện tử (cryptominer) và các mối đe dọa dai dẳng nâng cao (APT) được cho là của các tác nhân cấp quốc gia. Các mã độc này thường được triển khai thông qua các biện pháp chống phân tích pháp y (anti-forensic), có khả năng phát hiện và ngừng hoạt động trong môi trường ảo hóa để đạt được zero antivirus detections.
Kỹ thuật Lẩn tránh và Chống Phân tích
Sự tinh vi trong lẩn tránh thể hiện rõ trong cấu trúc của các payload. Chúng thường truy xuất mã bị che giấu từ các dịch vụ đám mây có vẻ vô hại, tích hợp các kiểm tra thời gian chạy (runtime checks) để phát hiện các chỉ số sandbox. Điều này giúp mã độc khó bị phát hiện bởi các công cụ bảo mật truyền thống.
Biến thể FileFix và Sự thích nghi
Những cải tiến gần đây, như biến thể FileFix được nhà nghiên cứu mr.d0x xác định, điều chỉnh phương pháp bằng cách hướng dẫn người dùng dán lệnh vào thanh địa chỉ của Windows File Explorer. Điều này giúp bỏ qua các biện pháp giảm thiểu hộp thoại Run truyền thống. Theo báo cáo từ Cybersecurity News, những sự thích nghi này nhấn mạnh sự linh hoạt của kẻ tấn công trong việc phản ứng với nhận thức ngày càng tăng. Các chiến dịch này đã được Microsoft theo dõi dưới các định danh như Storm-1865.
Sự tích hợp các thanh tiến trình giả và hộp thoại xác nhận tăng cường tính lừa đảo. Điều này khiến việc phân biệt giữa các thử thách Cloudflare thực và giả trở nên cực kỳ khó khăn nếu không có sự giám sát pháp y. Tham khảo thêm về biến thể FileFix tại: GBHackers – New FileFix Exploit.
Chiến lược Phòng chống và Giảm thiểu Rủi ro Bảo mật
Phòng thủ Đa lớp và Giáo dục Người dùng
Để chống lại bối cảnh mối đe dọa đang phát triển này, các chuyên gia bảo mật ủng hộ một chiến lược phòng thủ đa lớp. Chiến lược này nhấn mạnh tầm quan trọng của giáo dục người dùng và tăng cường bảo mật hệ thống. Các tổ chức nên ưu tiên các chương trình đào tạo làm nổi bật các dấu hiệu cảnh báo, chẳng hạn như các tương tác cấp độ hệ điều hành không được yêu cầu trong quá trình xác minh web, một hành vi mà các nhà cung cấp hợp pháp như Cloudflare không bao giờ sử dụng.
Các Biện pháp Kỹ thuật Đề xuất
Các khuyến nghị chính bao gồm vô hiệu hóa hộp thoại Windows Run thông qua Group Policy Objects hoặc chỉnh sửa registry để chặn việc gọi lệnh trái phép. Đồng thời, việc sử dụng các công cụ phân tích hành vi (behavioral analytics) có thể gắn cờ các thực thi PowerShell bất thường hoặc thao tác clipboard là cần thiết. Dưới đây là ví dụ về cách vô hiệu hóa Run qua Registry (cần quyền quản trị):
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /fĐể khôi phục, thay /d 1 bằng /d 0.
Giải pháp EDR và Cập nhật Bản vá Bảo mật
Các giải pháp phát hiện và phản hồi điểm cuối nâng cao (EDR) với khả năng phát hiện dị thường dựa trên máy học là cần thiết để xác định các chỉ số sau thực thi. Đồng thời, việc giữ cho hệ thống được vá lỗi chống lại các lỗ hổng liên quan trong các công cụ như Windows File Explorer là tối quan trọng để giảm thiểu rủi ro. Các tổ chức cần chú trọng việc triển khai các bản vá bảo mật một cách kịp thời.
Phản ứng của Ngành An ninh Mạng
Phản ứng của ngành an ninh mạng đã chủ động, với các công ty như Proofpoint và ESET tăng cường các nguồn cấp dữ liệu thông tin về mối đe dọa (threat intelligence) và phát triển các quy tắc heuristic để nhận dạng mẫu **ClickFix attack**. Các sáng kiến nâng cao nhận thức rộng rãi hơn nhấn mạnh rằng các cuộc tấn công này khai thác các lỗ hổng tâm lý chứ không phải lỗi phần mềm, đòi hỏi phải tập trung vào các yếu tố con người trong các tư thế bảo mật.
Tổng kết về Mô hình Tấn công Lừa đảo
Khi các biến thể tiếp tục xuất hiện, pha trộn sự mạo danh với sự lừa đảo tương tác, việc cảnh giác liên tục thông qua săn lùng mối đe dọa (threat hunting) và chia sẻ thông tin tình báo vẫn là tối quan trọng. Chiến dịch lai BBC-Cloudflare này là một ví dụ điển hình về sự hội tụ ngày càng tăng của thông tin sai lệch và phân phối mã độc. Điều này thúc đẩy việc đánh giá lại các mô hình tin cậy trong các hệ sinh thái kỹ thuật số để giảm thiểu rủi ro từ các mô hình kỹ thuật xã hội thâm hiểm như **ClickFix attack**.
