Phân Tích Chiến Dịch Malware ClickFix: Tấn Công Đa Giai Đoạn Qua Social Engineering
Một chiến dịch tấn công mạng tinh vi mang tên ClickFix đang được các tội phạm mạng khai thác, sử dụng kỹ thuật social engineering để đánh lừa người dùng thông qua các thử thách CAPTCHA giả mạo. Chiến dịch này triển khai các Remote Access Trojan (RATs) và phần mềm độc hại đánh cắp dữ liệu qua nhiều giai đoạn. Bài viết dưới đây cung cấp thông tin chi tiết về kỹ thuật tấn công, cơ sở hạ tầng, các Indicators of Compromise (IOCs), nền tảng bị ảnh hưởng và các biện pháp phòng ngừa.
Tổng Quan Về ClickFix
Chiến dịch ClickFix lợi dụng sự tương tác của con người bằng cách giả mạo các quy trình xác minh CAPTCHA hợp pháp để triển khai mã độc. Người dùng bị lừa thực hiện các hành động dẫn đến việc tải xuống và thực thi các phần mềm độc hại như RATs và infostealer.
Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs – MITRE ATT&CK IDs)
- Deception (Lừa đảo): Sử dụng các thử thách CAPTCHA giả để đánh lừa nạn nhân thực hiện các hành động nguy hiểm.
- Social Engineering (Kỹ thuật xã hội): Thao túng người dùng làm theo hướng dẫn dẫn đến việc thực thi mã độc.
- Clipboard Injection (Chèn lệnh vào Clipboard): Ghi các lệnh độc hại vào clipboard và hướng dẫn nạn nhân dán lệnh đó vào hộp thoại ‘Run’ trên Windows để kích hoạt quy trình lây nhiễm.
Cơ Sở Hạ Tầng Tấn Công
- Phương thức phân phối:
- Chèn mã độc vào các trang web hợp pháp.
- Tạo các trang phishing sao chép hoàn toàn trang web gốc.
- Gửi qua email dưới dạng tệp đính kèm hoặc nội dung nhúng hoạt động.
- Dẫn dụ qua tin nhắn trên mạng xã hội.
- Thực thi mã độc: Sử dụng mã PowerShell để tải xuống payload mã hóa thông qua
mshta.exe. Các thử thách xác minh giả mạo được gửi qua tệp đính kèm email hoặc liên kết nhúng.
Indicators of Compromise (IOCs)
Dưới đây là thông tin về các chỉ số nhận diện mối đe dọa liên quan đến chiến dịch ClickFix:
- Command Injection (Chèn lệnh): Lệnh độc hại được chèn vào clipboard thường liên quan đến việc sao chép một đoạn script và dán vào hộp thoại ‘Run’ của Windows để bắt đầu quá trình lây nhiễm. Ví dụ:
document.exeCommand('copy')Lệnh này sau đó được dán vào hộp thoại ‘Run’ và thực thi.
Các Gia Đình Malware Liên Quan
- Lumma Infostealer: Được phân phối thông qua PowerShell bị xâm phạm và kỹ thuật hijacking clipboard.
- RATs: Được triển khai thông qua chiến lược ClickFix.
- EDDIESTEALER: Một phần mềm độc hại dựa trên Rust, lây lan qua các trang CAPTCHA giả mạo, đánh cắp thông tin xác thực và vượt qua mã hóa của Chrome.
Các Nền Tảng Bị Ảnh Hưởng
- Windows: Nạn nhân được hướng dẫn dán các lệnh độc hại vào hộp thoại ‘Run’ của Windows để thực thi mã độc.
- macOS: Chuỗi tấn công bao gồm chuyển hướng dựa trên trình duyệt, lời nhắc giao diện giả mạo (fake UI prompts), và kỹ thuật drive-by download. Một đoạn JavaScript được mã hóa trên trang web khởi tạo chuỗi chuyển hướng đến một trang hướng dẫn nạn nhân mở Terminal và chạy shell script, dẫn đến việc tải xuống Atomic macOS Stealer (AMOS).
- Android và iOS: Kỹ thuật drive-by download được kích hoạt khi truy cập trang web từ các nền tảng này, dẫn đến việc triển khai một loại trojan khác.
Biện Pháp Khắc Phục Và Khuyến Nghị
Để giảm thiểu nguy cơ từ chiến dịch ClickFix, các tổ chức và cá nhân cần áp dụng các biện pháp sau:
- Đào tạo người dùng: Nâng cao nhận thức cho người dùng về rủi ro khi thực hiện theo các hướng dẫn không rõ nguồn gốc, đặc biệt liên quan đến các thử thách CAPTCHA đáng ngờ.
- Cập nhật phần mềm bảo mật: Đảm bảo rằng các phần mềm bảo mật được cập nhật thường xuyên và có khả năng phát hiện, chặn các script và payload độc hại.
- Giám sát mạng: Triển khai các giải pháp giám sát mạng mạnh mẽ để phát hiện và chặn các hoạt động đáng ngờ, chẳng hạn như chèn lệnh clipboard và thực thi lệnh độc hại.
Chiến dịch ClickFix là một ví dụ điển hình về cách tội phạm mạng kết hợp social engineering với các kỹ thuật thực thi mã độc tinh vi. Việc cảnh giác và áp dụng các biện pháp phòng ngừa là rất quan trọng để bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa này.
