Một vòng lặp phản hồi nguy hiểm trong tội phạm mạng đang nổi lên, nơi thông tin xác thực bị đánh cắp từ mã độc infostealer cho phép kẻ tấn công chiếm quyền kiểm soát các trang web doanh nghiệp hợp pháp và biến chúng thành nền tảng phân phối mã độc.
Nghiên cứu gần đây của Hudson Rock Threat Intelligence Team đã tiết lộ chu trình tự duy trì này, biến nạn nhân thành những kẻ đồng lõa không hề hay biết.
Cách Thức Tấn Công ClickFix
Kẻ tấn công sử dụng một kỹ thuật kỹ thuật xã hội tinh vi gọi là “ClickFix”. Kỹ thuật này lừa người dùng thực thi mã độc thông qua các hành động của chính họ.
Cuộc tấn công bắt đầu khi nạn nhân truy cập các trang web bị xâm nhập hiển thị các lời nhắc bảo mật giả mạo.
Các lời nhắc này thường bắt chước Google reCAPTCHA hoặc thông báo lỗi trình duyệt thông thường.
Khi người dùng nhấp vào các cảnh báo gian lận này, một đoạn JavaScript độc hại sẽ tự động sao chép một lệnh PowerShell vào clipboard của họ.
Sau đó, lời nhắc giả mạo sẽ hướng dẫn người dùng nhấn tổ hợp phím Windows+R và dán “mã xác minh” bằng cách nhấn Ctrl+V.
Thao tác này sẽ thực thi lệnh ẩn, tải xuống các loại mã độc infostealer như Lumma, Vidar hoặc Stealc trực tiếp vào hệ thống của nạn nhân, bỏ qua các kiểm soát bảo mật truyền thống.
Phân Tích Dữ Liệu và Mối Tương Quan Của Tấn Công Mạng
Nghiên cứu phân tích dữ liệu từ nền tảng ClickFix Hunter, theo dõi hơn 1.600 miền độc hại đang hoạt động, đã phát hiện một mô hình đáng báo động.
Đối chiếu các miền này với cơ sở dữ liệu về thông tin xác thực bị xâm nhập của Hudson Rock đã tiết lộ 220 miền, khoảng 13%, vừa đang lưu trữ các chiến dịch ClickFix vừa có thông tin quản trị bị lộ trong nhật ký mã độc infostealer.
Mối tương quan này chứng minh mối quan hệ nhân quả: các doanh nghiệp hợp pháp mà quản trị viên của họ bị lây nhiễm bởi infostealer đã bị chiếm quyền trang web để phân phối chính loại mã độc đã xâm nhập họ.
Các thông tin xác thực bị đánh cắp bao gồm quyền truy cập vào bảng quản trị WordPress, điều khiển lưu trữ cPanel và các hệ thống quản lý nội dung (CMS).
Ví Dụ Về Hệ Thống Bị Xâm Nhập
Phân tích trang jrqsistemas.com minh họa rõ ràng mô hình này. Miền này hiện đang lưu trữ một chiến dịch ClickFix đang hoạt động.
Tuy nhiên, thông tin tình báo của Hudson Rock chỉ ra rằng thông tin đăng nhập WordPress của quản trị viên trang web này đã bị đánh cắp trước đó bởi mã độc infostealer.
Kẻ tấn công đã sử dụng các thông tin xác thực hợp lệ này để truy cập trang web và tải lên các tập lệnh độc hại, biến một trang web doanh nghiệp hợp pháp thành một nền tảng tấn công.
Bằng chứng tương tự tồn tại cho nhiều miền khác, bao gồm wo.cementah.com, nơi thông tin xác thực quản trị thu thập bởi infostealer đã cho phép truy cập trái phép để lưu trữ mã độc.
Vòng Lặp Phản Hồi Nguy Hiểm Của Mã Độc Infostealer
Vòng lặp phản hồi này tạo ra sự tăng trưởng theo cấp số nhân trong cơ sở hạ tầng tấn công.
- Khi nhiều máy tính bị lây nhiễm, nhiều thông tin xác thực sẽ bị đánh cắp.
- Nhiều thông tin xác thực bị đánh cắp dẫn đến nhiều trang web bị xâm nhập.
- Nhiều trang web bị xâm nhập mở rộng bề mặt tấn công cho các chiến dịch ClickFix.
- Kết quả là có thêm các ca lây nhiễm. Chu trình này trở thành tự duy trì.
Bản chất phi tập trung của cơ sở hạ tầng này khiến việc gián đoạn trở nên cực kỳ khó khăn.
Thay vì hoạt động từ các máy chủ độc hại chuyên dụng, kẻ tấn công ẩn mình trong hàng ngàn nhà cung cấp hosting hợp pháp, sử dụng các trang web doanh nghiệp đã bị xâm nhập.
Ngay cả khi các cơ quan chức năng phá dỡ các mạng botnet lớn, cơ sở hạ tầng phân tán vẫn gần như nguyên vẹn.
Giải Pháp Phát Hiện và Ngăn Chặn Mối Đe Dọa
Nền tảng ClickFix Hunter, được phát triển bởi nhà nghiên cứu Carson Williams của ReliaQuest và tích hợp với thông tin tình báo của Hudson Rock, cung cấp khả năng hiển thị quan trọng về mối đe dọa này.
Công cụ này phân biệt giữa các miền thuần túy độc hại và các trang web hợp pháp đã bị xâm nhập, cho phép áp dụng các chiến lược khắc phục hiệu quả hơn. Theo Infostealers.com, việc này là cần thiết để đối phó với các cuộc tấn công ngày càng phức tạp.
Sự Thay Đổi Trong Chiến Thuật Tấn Công Mạng
Cộng đồng an ninh mạng phải nhận ra rằng việc phân phối mã độc hiện đại ngày càng dựa vào khai thác hành vi của con người hơn là các lỗ hổng kỹ thuật.
Khi các trình duyệt và hệ điều hành trở nên an toàn hơn, kẻ tấn công chuyển sang các chiến thuật kỹ thuật xã hội để lừa người dùng tự tắt các biện pháp bảo vệ của họ.
Việc hiểu và phá vỡ cơ sở hạ tầng hỗ trợ các chiến dịch này, đặc biệt là vòng lặp phản hồi đánh cắp thông tin xác thực, là điều cần thiết để phá vỡ chu trình nguy hiểm này.
