Kẻ tấn công ngày càng tăng cường sử dụng kỹ thuật kỹ thuật xã hội ClickFix để phân tán các họ mã độc nguy hiểm, bao gồm NetSupport RAT, Latrodectus, và Lumma Stealer. Phương pháp này, nổi lên rõ rệt trong những tháng gần đây, lừa đảo người dùng thực thi các lệnh độc hại dưới vỏ bọc giải quyết các vấn đề máy tính phổ biến như trục trặc hiệu suất hoặc lời nhắc xác minh.
ClickFix: Cơ chế Tấn công và Tác động
ClickFix lợi dụng kỹ thuật pastejacking, một hình thức chiếm quyền điều khiển clipboard thông qua injection JavaScript. Kẻ tấn công nhúng các script hoặc lệnh PowerShell bị che giấu vào clipboard của nạn nhân. Người dùng vô tình dán các nội dung này vào các giao diện hệ thống như hộp thoại Run (Win+R) hoặc terminal (Win+X).
Kỹ thuật này bỏ qua các biện pháp kiểm soát bảo mật truyền thống vì không có khai thác trực tiếp (direct exploit) hoặc tải xuống mã độc. Thay vào đó, người dùng tự tay kích hoạt lây nhiễm thông qua các shell đáng tin cậy như cmd.exe hoặc powershell.exe.
Unit 42 của Palo Alto Networks đã ghi nhận gần một tá sự cố trong năm 2025 mà ClickFix đóng vai trò là vector truy cập ban đầu, ảnh hưởng đến nhiều lĩnh vực đa dạng từ công nghệ cao, dịch vụ tài chính đến sản xuất, tiện ích và các cơ quan chính phủ.
Tính đơn giản của kỹ thuật này cho phép triển khai nhanh chóng, tạo điều kiện cho các cuộc chiếm quyền toàn bộ tổ chức thông qua đánh cắp thông tin xác thực, trích xuất dữ liệu hoặc triển khai mã độc tống tiền (ransomware). Các nhà nghiên cứu đã quan sát thấy sự gia tăng các vụ lây nhiễm hàng tuần kể từ đầu năm 2025, với các biến thể mạo danh các dịch vụ hợp pháp như DocuSign và Okta để né tránh phát hiện.
Các Chiến dịch Tấn công Thực tế
Chiến dịch NetSupport RAT
Một chiến dịch đáng chú ý vào tháng 5 năm 2025 đã nhắm mục tiêu vào các ngành như chăm sóc sức khỏe, dịch vụ pháp lý, viễn thông, bán lẻ và khai thác mỏ bằng cách phân phối NetSupport RAT. Kẻ tấn công sử dụng các trang đích giả mạo trên các tên miền như docusign.sa[.]com và oktacheck.it[.]com.
Các trang lừa đảo này, nghi ngờ sử dụng hạ tầng ClearFake (một framework JavaScript độc hại được nhúng vào các trang web bị xâm nhập), inject các lệnh PowerShell được mã hóa. Các lệnh này tải xuống một kho lưu trữ ZIP chứa jp2launcher.exe, một thành phần Java Runtime Environment hợp pháp. Sau đó, jp2launcher.exe thực hiện sideloading một DLL độc hại (msvcp140.dll), mà tiếp đó sẽ tìm nạp và thực thi NetSupport RAT (client32.exe) từ các mã nhị phân được mã hóa, thiết lập quyền truy cập từ xa.
Chiến dịch Latrodectus
Các chiến dịch Latrodectus từ tháng 3 đến tháng 4 năm 2025 đã chuyển sang sử dụng ClickFix. Kẻ tấn công chuyển hướng người dùng từ các trang web bị tấn công đến các trang xác minh yêu cầu dán các lệnh curl.exe. Các lệnh này tải xuống các dropper JavaScript.
Các dropper JavaScript này, bị che giấu bằng các biến JSON rác, truy xuất các payload MSI. Các payload MSI này thực hiện sideloading libcef.dll, sau đó inject shellcode để duy trì truy cập (persistence) và có khả năng triển khai các payload tiếp theo như các infostealer.
Chiến dịch Lumma Stealer
Vào tháng 4 năm 2025, các cuộc tấn công Lumma Stealer tăng cường sử dụng các tên miền typosquatting như iplogger[.]co để gửi các lệnh MSHTA. Các lệnh MSHTA này tìm nạp các script PowerShell được mã hóa, cuối cùng triển khai PartyContinued.exe.
Công cụ giải nén PartyContinued.exe này unpack một tệp CAB (Boat.pst) để xây dựng một công cụ script AutoIt3 (Slovenia[.]com), sau đó thực thi Lumma dưới dạng tệp .a3x. Mục tiêu chính của Lumma Stealer là thu thập thông tin xác thực và trích xuất dữ liệu đến các máy chủ C2 (command and control) như sumeriavgv[.]digital.
Các chuỗi tấn công này cho thấy sự phát triển của kỹ thuật che giấu, từ các script có bình luận bằng tiếng Nga đến các payload động được lưu trữ trên R2.dev, ảnh hưởng đến các ngành công nghiệp ô tô, năng lượng, CNTT và phần mềm.
Chỉ số Nhận dạng Mã độc (IOCs)
Các chỉ số sau đây được trích xuất từ các chiến dịch tấn công ClickFix đã được quan sát:
- Tên miền lừa đảo:
docusign.sa[.]comoktacheck.it[.]comiplogger[.]co(typosquatted)sumeriavgv[.]digital(C2)
- Tên tệp và thành phần độc hại:
jp2launcher.exe(thành phần hợp pháp được dùng cho sideloading)msvcp140.dll(DLL độc hại)client32.exe(file thực thi NetSupport RAT)libcef.dll(DLL độc hại cho Latrodectus)PartyContinued.exe(công cụ giải nén Lumma Stealer)Boat.pst(tệp CAB cho Lumma Stealer)Slovenia[.]com(công cụ script AutoIt3 cho Lumma Stealer).a3x(phần mở rộng tệp Lumma Stealer)
- Hạ tầng nghi ngờ:
- ClearFake
- R2.dev
Chiến lược Phát hiện và Giảm thiểu
Để đối phó với các mối đe dọa này, các nhà săn tìm mối đe dọa (threat hunters) có thể kiểm tra các tạo tác (artifacts) sau:
Giám sát Registry và Event Log
- Kiểm tra khóa registry RunMRU:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUTìm kiếm các mục đáng ngờ liên quan đến các lệnh bị che giấu hoặc tải xuống từ các tên miền không đáng tin cậy.
- Đối với các biến thể sử dụng Win+X, hãy giám sát Event ID 4688 cho các tiến trình
powershell.exeđược sinh ra bởiexplorer.exe. - Correlate với Event ID 4663 cho các truy cập vào các thư mục WinX.
- Đồng thời, theo dõi các phiên shell được nâng quyền (elevated shell sessions) sau khi đăng nhập và các tiến trình con bất thường như
mshta.exehoặcrundll32.exe.
Giám sát Clipboard
- Giám sát clipboard có thể gắn cờ các sự kiện dán nội dung đáng ngờ xảy ra trước các hành vi thực thi lệnh.
Giải pháp Bảo mật
Các giải pháp bảo mật toàn diện như Palo Alto Networks’ Advanced WildFire, URL Filtering, DNS Security, Cortex XDR, và XSIAM cung cấp khả năng phòng thủ mạnh mẽ bằng cách phát hiện các injection clipboard và các hành vi bất thường.
Các tổ chức nên giáo dục người dùng về các chiêu trò lừa đảo này, đồng thời triển khai giám sát chủ động. Đối với các trường hợp bị nghi ngờ thỏa hiệp, hãy liên hệ với đội ngũ ứng phó sự cố của Unit 42.
