Kỹ thuật tấn công ClickFix đang được các tác nhân đe dọa áp dụng ngày càng phổ biến. Đây là một phương pháp kỹ thuật xã hội tinh vi, lừa dối người dùng thực thi các lệnh độc hại dưới chiêu bài giải quyết các vấn đề máy tính thông thường như hiệu suất chậm hoặc lỗi pop-up.
Giới thiệu về ClickFix: Kỹ thuật Tấn công Kỹ thuật Xã hội Tinh vi
Định nghĩa và Cơ chế Hoạt động
ClickFix hoạt động dựa trên cơ chế clipboard hijacking (hay còn gọi là pastejacking) để chèn các script độc hại vào clipboard của nạn nhân. Kỹ thuật này thường được phân phối thông qua các trang web bị xâm nhập, quảng cáo độc hại (malvertising), các hướng dẫn trên YouTube, hoặc các diễn đàn hỗ trợ kỹ thuật giả mạo.
Sau khi nội dung độc hại được chèn vào clipboard, nạn nhân sẽ được hướng dẫn dán và chạy các lệnh này thông qua các phím tắt của Windows như Win+R (để mở hộp thoại Run) hoặc Win+X (để mở terminal). Bằng cách này, kẻ tấn công có thể thực thi mã độc một cách hiệu quả mà không cần sử dụng các kỹ thuật khai thác lỗ hổng (exploits), tệp đính kèm độc hại, hoặc các lượt tải xuống trực tiếp, qua đó bỏ qua các biện pháp kiểm soát bảo mật truyền thống.
Các Phương thức Phân phối và Cơ chế Lẩn tránh Bảo mật
Sự thành công của ClickFix nằm ở khả năng lừa dối người dùng tự nguyện thực hiện hành vi nguy hiểm. Thay vì dựa vào các lỗ hổng phần mềm, nó khai thác niềm tin của người dùng vào các giải pháp có vẻ hợp pháp cho các vấn đề máy tính thường gặp. Điều này làm cho việc phát hiện trở nên khó khăn hơn, vì các hành động ban đầu do chính người dùng thực hiện, khiến chúng trông giống như các hoạt động hợp lệ trong nhật ký hệ thống.
Các kênh phân phối đa dạng như các trang web hợp pháp bị xâm phạm hoặc quảng cáo độc hại trên các nền tảng phổ biến, giúp các chiến dịch ClickFix tiếp cận được nhiều nạn nhân. Việc sử dụng các phím tắt tích hợp của Windows cho phép mã độc được thực thi trong môi trường được ủy quyền bởi người dùng, khiến các giải pháp bảo mật truyền thống khó khăn trong việc nhận diện và ngăn chặn.
Mức độ Tác động và Phạm vi của Chiến dịch ClickFix
Thống kê và Ngành công nghiệp bị ảnh hưởng
Các nhà nghiên cứu của Unit 42 đã theo dõi sự gia tăng đáng kể của các chiến dịch ClickFix, tác động đến nhiều ngành công nghiệp khác nhau, bao gồm công nghệ cao, dịch vụ tài chính, sản xuất và các lĩnh vực chính phủ.
Đã có gần một tá trường hợp ứng phó sự cố (incident response) được liên kết với ClickFix như một vector truy cập ban đầu. Điều này cho thấy tính hiệu quả của kỹ thuật này trong việc thâm nhập vào các tổ chức. Trong nhiều trường hợp, ClickFix đã tạo điều kiện cho việc kiểm soát toàn bộ tổ chức, dẫn đến các hậu quả nghiêm trọng.
Hậu quả sau khi Khai thác Thành công
Khi các tác nhân đe dọa giành được quyền truy cập ban đầu thông qua ClickFix, họ có thể tiến hành nhiều hành vi độc hại khác nhau, bao gồm:
- Đánh cắp thông tin đăng nhập (credential theft): Thu thập tên người dùng và mật khẩu từ hệ thống bị xâm nhập.
- Trích xuất dữ liệu (data exfiltration): Lấy cắp dữ liệu nhạy cảm ra khỏi mạng của tổ chức.
- Triển khai ransomware: Mã hóa dữ liệu và yêu cầu tiền chuộc. Ví dụ, kỹ thuật này đã được sử dụng để triển khai ALPHV ransomware, lợi dụng các lỗ hổng trong RDP (Remote Desktop Protocol) và ScreenConnect để lây lan và thực thi mã độc.
Các payload được sử dụng trong các chiến dịch ClickFix rất đa dạng, từ các phần mềm đánh cắp thông tin (infostealers) cho đến các trojan truy cập từ xa (RATs – Remote Access Trojans). Tất cả đều khai thác niềm tin của con người vào các giải pháp có vẻ hợp pháp. Mặc dù việc phát hiện ClickFix có thể là một thách thức, nhưng nó vẫn khả thi thông qua việc phân tích các tạo tác (artifacts) trên hệ thống như các khóa registry hoặc nhật ký sự kiện.
Các Chiến dịch ClickFix Nổi bật và Mã độc Đi kèm
Các chiến dịch ClickFix nổi bật gần đây minh họa rõ ràng cách các tác nhân đe dọa tận dụng kỹ thuật này để phân phối các loại mã độc khác nhau và đạt được các mục tiêu độc hại. Dưới đây là ba ví dụ điển hình:
Chiến dịch Phân phối NetSupport RAT
Trong các chiến dịch gần đây (được ghi nhận vào năm 2025, có thể là một lỗi đánh máy, nhưng chỉ rõ mức độ gần đây của mối đe dọa), kẻ tấn công đã sử dụng các trang giả mạo DocuSign và Okta trên các tên miền như docusign.sa[.]com và oktacheck.it[.]com. Các tên miền này nhiều khả năng có liên quan đến hạ tầng ClearFake. Các mồi nhử này đã chèn các lệnh PowerShell độc hại vào clipboard của nạn nhân.
Khi được thực thi, các lệnh PowerShell này sẽ tải xuống các tệp tin nén ZIP chứa các thành phần Java hợp pháp được sử dụng để sideload các DLL độc hại. Quá trình này cuối cùng sẽ triển khai NetSupport RAT, cho phép kẻ tấn công kiểm soát từ xa các điểm cuối bị nhiễm.
Thông tin Nhận dạng Đe dọa (IOCs) – NetSupport RAT Campaign
- Malware: NetSupport RAT
- Infrastructure: ClearFake
- Domains:
docusign.sa[.]comoktacheck.it[.]com
- Techniques: Pastejacking, DLL Sideloading, PowerShell injection.
Chiến dịch Malware Latrodectus
Các chiến dịch malware Latrodectus, hoạt động mạnh mẽ trong tháng 3-4, đã chuyển hướng người dùng từ các trang web bị xâm nhập đến các trang xác minh giả mạo. Tại đó, kỹ thuật pastejacking được sử dụng để chèn các script PowerShell vào clipboard của nạn nhân. Các script này sau đó sẽ tải xuống các dropper JavaScript được mã hóa và làm rối với các biến JSON rác để gây khó khăn cho việc phân tích.
Các dropper JavaScript này sẽ thực thi các tệp MSI, cuối cùng thả mã độc Latrodectus dưới dạng tệp libcef.dll. Tương tự như chiến dịch NetSupport RAT, mã độc này cũng được sideload thông qua các binary hợp pháp để tránh bị phát hiện. Mã độc Latrodectus thường là bước đệm để triển khai payload tiếp theo, thường là Lumma Stealer.
Thông tin Nhận dạng Đe dọa (IOCs) – Latrodectus Campaign
- Malware: Latrodectus, Lumma Stealer (follow-on payload)
- Files:
libcef.dll(Latrodectus) - Techniques: Pastejacking, PowerShell scripts, Obfuscated JavaScript droppers, MSI execution, DLL Sideloading.
Hoạt động của Lumma Stealer
Các hoạt động của Lumma Stealer đã gia tăng mạnh mẽ trong tháng 4. Kẻ tấn công sử dụng các tên miền giả mạo (typosquatted domains) như iplogger[.]co để phân phối các lệnh MSHTA. Các lệnh này sẽ tìm nạp các script PowerShell được mã hóa.
Các script PowerShell sau đó sẽ giải nén các loader dựa trên AutoIt từ các tệp CAB như Boat.pst. Các loader này được thiết kế để thu thập thông tin đăng nhập trình duyệt của nạn nhân và sau đó trích xuất chúng đến các máy chủ Command and Control (C2) như sumeriavgv[.]digital.
Thông tin Nhận dạng Đe dọa (IOCs) – Lumma Stealer Operations
- Malware: Lumma Stealer, AutoIt-based loaders
- Domains:
iplogger[.]co(typosquatted domain)sumeriavgv[.]digital(C2 server)
- Files:
Boat.pst(CAB file) - Techniques: Typosquatting, MSHTA commands, Encoded PowerShell, AutoIt, Credential harvesting, Data exfiltration.
Kỹ thuật Khai thác và Lẩn tránh
Phân tích Payload và Mục tiêu
Các payload được sử dụng trong các chiến dịch ClickFix được chọn lựa kỹ lưỡng để đạt được các mục tiêu cụ thể của kẻ tấn công. Chúng thường bao gồm:
- Infostealers: Được thiết kế để thu thập thông tin nhạy cảm như thông tin đăng nhập, dữ liệu tài chính, và các tệp cá nhân.
- Remote Access Trojans (RATs): Cung cấp cho kẻ tấn công quyền kiểm soát từ xa hoàn toàn đối với hệ thống bị nhiễm, cho phép chúng thực hiện các hành vi như cài đặt phần mềm độc hại bổ sung, truy cập dữ liệu, hoặc sử dụng hệ thống làm bàn đạp cho các cuộc tấn công khác.
Việc kết hợp các kỹ thuật lẩn tránh như DLL sideloading, mã hóa PowerShell, và làm rối mã nguồn (obfuscation) giúp các payload này né tránh sự phát hiện của các giải pháp bảo mật truyền thống. Chúng lợi dụng các binary hợp pháp để tải các thư viện độc hại, khiến việc phân biệt giữa hoạt động hợp lệ và độc hại trở nên khó khăn hơn.
Tính linh hoạt và Khả năng thích ứng của ClickFix
Các chiến dịch này minh họa khả năng thích ứng cao của ClickFix. Các tác nhân đe dọa không ngừng kết hợp các loader mới và kỹ thuật làm rối mã nguồn để nâng cao hiệu quả tấn công và né tránh các biện pháp phòng thủ. Điều này cho phép chúng nhắm mục tiêu vào các ngành công nghiệp cụ thể như ô tô, năng lượng và công nghệ thông tin một cách hiệu quả hơn.
Săn lùng và Phát hiện Nhiễm ClickFix
Việc săn lùng các dấu hiệu nhiễm ClickFix đòi hỏi phải kiểm tra kỹ lưỡng các tạo tác của Windows và nhật ký hệ thống. Đây là một số điểm chính cần tập trung:
Giám sát Registry Key
Một trong những nơi quan trọng để tìm kiếm dấu hiệu của ClickFix là khóa registry RunMRU. Khóa này lưu trữ lịch sử các lệnh được thực thi thông qua hộp thoại Run (Win+R). Kẻ tấn công thường sử dụng các lệnh bị che giấu (obfuscated commands) hoặc các từ khóa chỉ ra việc tải xuống payload. Việc giám sát các mục nhập mới hoặc bất thường trong khóa này có thể tiết lộ các hoạt động đáng ngờ.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRUPhân tích các chuỗi lệnh trong khóa này có thể tiết lộ các đường dẫn tải xuống, tên tệp đáng ngờ, hoặc các tham số thực thi lạ.
Phân tích Nhật ký Sự kiện Windows
Nhật ký sự kiện Windows cung cấp thông tin chi tiết về các hoạt động của hệ thống. Đặc biệt, cần chú ý đến Security ID 4688 (Process Creation). Sự kiện này ghi lại thông tin về các tiến trình mới được tạo, bao gồm tên tiến trình cha và tiến trình con, cũng như dòng lệnh được sử dụng để khởi tạo tiến trình. Trong trường hợp của ClickFix, hãy tìm kiếm các tiến trình con đáng ngờ được tạo ra từ explorer.exe, đặc biệt nếu chúng liên quan đến PowerShell, MSHTA, CMD, hoặc các trình thông dịch script khác mà không có lý do hợp lệ.
Event ID: 4688 (Microsoft-Windows-Security-Auditing)
Source: Microsoft Windows security auditing.
Description: A new process has been created.
Relevant fields:
- New Process Name
- Creator Process Name (e.g., explorer.exe)
- Command LineKỹ thuật Phát hiện cho Biến thể Win+X
Đối với các biến thể ClickFix sử dụng phím tắt Win+X (ví dụ: để mở PowerShell hoặc Command Prompt với quyền quản trị), việc phát hiện phức tạp hơn một chút. Cần phải đối chiếu các phiên PowerShell có quyền nâng cao (elevated PowerShell sessions) với các sự kiện truy cập đối tượng (object access events) hoặc các hoạt động dán từ clipboard. Điều này có thể đòi hỏi phân tích nhật ký chi tiết từ các hệ thống EDR (Endpoint Detection and Response) để theo dõi các chuỗi sự kiện và xác định các hành vi bất thường.
Các Biện pháp Phòng chống và Bảo vệ
Giải pháp Kỹ thuật của Palo Alto Networks
Các giải pháp bảo mật tiên tiến có thể cung cấp khả năng bảo vệ mạnh mẽ chống lại các cuộc tấn công ClickFix. Theo báo cáo của Unit 42, các sản phẩm của Palo Alto Networks như Advanced WildFire, URL Filtering, DNS Security, Cortex XDR và XSIAM cung cấp khả năng bảo vệ toàn diện bằng cách phát hiện các hành vi chèn clipboard và các bất thường về hành vi. Các công cụ này giúp nhận diện và ngăn chặn các payload độc hại trước khi chúng có thể gây hại cho hệ thống.
Nâng cao Nhận thức Người dùng và Giám sát EDR
Bên cạnh các giải pháp kỹ thuật, việc nâng cao nhận thức của nhân viên là yếu tố then chốt. Các tổ chức nên ưu tiên đào tạo nhân viên về cách nhận biết các mồi nhử đáng ngờ và các kỹ thuật kỹ thuật xã hội. Việc này giúp giảm thiểu rủi ro từ yếu tố con người. Đồng thời, việc triển khai và giám sát hệ thống EDR telemetry là rất quan trọng để phát hiện và phản ứng kịp thời với các hoạt động độc hại trên các điểm cuối.
Tầm quan trọng của Chia sẻ Thông tin Tình báo Đe dọa
Khi ClickFix tiếp tục phát triển và thích nghi, các biện pháp chủ động là điều cần thiết để chống lại mối đe dọa toàn cầu này. Unit 42 đang tích cực chia sẻ thông tin tình báo về các mối đe dọa thông qua Cyber Threat Alliance (CTA). Việc chia sẻ thông tin này giúp các tổ chức khác và cộng đồng an ninh mạng xây dựng khả năng phòng thủ rộng hơn và hiệu quả hơn chống lại các chiến thuật tấn công mới nổi.
