Chiến dịch tấn công mạng tinh vi mang tên ClickFix đang gây ra mối đe dọa nghiêm trọng, lợi dụng kỹ thuật social engineering để phân phối mã độc đánh cắp thông tin trên cả nền tảng Windows và macOS. Chiến dịch này cho thấy cách các đối tượng đe dọa khai thác nhu cầu tìm kiếm phần mềm bẻ khóa hợp pháp để triển khai các payload nguy hiểm, dẫn đến rò rỉ dữ liệu thông tin đăng nhập và dữ liệu nhạy cảm của người dùng.

Tổng quan về Chiến dịch ClickFix và Phương thức Tấn công

Chiến dịch ClickFix được thiết kế để nhắm mục tiêu vào người dùng đang tìm kiếm phần mềm bẻ khóa hoặc phần mềm lậu trực tuyến. Đây là một mồi nhử phổ biến mà tội phạm mạng thường xuyên khai thác.

Thay vì nhận được kết quả hợp pháp, nạn nhân sẽ bị điều hướng đến các trang đích độc hại được lưu trữ trên các dịch vụ của Google, bao gồm Colab, Drive, Looker Studio, Sites và Groups.

Cơ sở hạ tầng đa tầng này được xây dựng một cách có chủ đích nhằm né tránh các biện pháp bảo mật truyền thống, bởi vì các quản trị viên ít có khả năng chặn hoàn toàn các dịch vụ của Google.

Kỹ thuật Social Engineering và Chuỗi Lây nhiễm

Khi người dùng nhấp vào các trang đích này, họ sẽ gặp phải các cảnh báo bảo mật giả mạo, bắt chước các trang xác minh Cloudflare hợp pháp. Giao diện lừa đảo này hướng dẫn người dùng sao chép và dán một chuỗi dường như là mã xác minh vào terminal của họ.

Tuy nhiên, điều mà nạn nhân thực sự thực thi là một lệnh shell đã được mã hóa Base64 độc hại. Lệnh này tải xuống và chạy mã độc infostealer trực tiếp trong bộ nhớ. Đây là một phương pháp tấn công không file (fileless attack) nhằm vượt qua các giải pháp chống virus truyền thống.

Sự tinh vi của chiến dịch còn nằm ở việc phân phối payload cụ thể cho từng hệ điều hành. Người dùng Windows bị hướng đến ACR stealer, trong khi người dùng macOS nhận Odyssey stealer, một biến thể mã độc dành riêng cho macOS.

Các payload ban đầu thường được gửi dưới dạng tệp ZIP được bảo vệ bằng mật khẩu, chứa các tệp thực thi triển khai đầy đủ chức năng của infostealer.

Mã độc Infostealer: ACR Stealer và Odyssey Stealer

Các nhà nghiên cứu bảo mật đã phát hiện rằng ACR stealer không chỉ hoạt động như một công cụ đánh cắp thông tin mà còn đóng vai trò là một loader cho các mã độc bổ sung, bao gồm SharkClipper. SharkClipper là một công cụ cướp clipboard tiền điện tử, thay thế địa chỉ ví đã sao chép của người dùng bằng địa chỉ do kẻ tấn công kiểm soát.

Chiến dịch tấn công mạng này cho thấy khả năng đa dạng hóa của mã độc trong việc thực hiện các hành vi độc hại.

Odyssey stealer được thiết kế để thu thập nhiều loại dữ liệu người dùng trên macOS, bao gồm:

• Mật khẩu
• Cookie
• Ví tiền điện tử
• Các tài liệu khớp với phần mở rộng cụ thể
• Apple Notes
• Mục nhập Keychain
• Siêu dữ liệu hệ thống

Các chỉ số lây nhiễm và Tác động của ClickFix

Hiệu quả của chiến dịch này là rất đáng báo động. Các nhà nghiên cứu đã ghi nhận mức tăng gần 700% số lượng nhật ký ACR stealer được tải lên các thị trường ngầm vào tháng 5 năm 2025 so với tháng trước đó. Chỉ riêng trong tháng đó, đã có 133.980 nhật ký người dùng bị xâm phạm mới được thu thập.

Sự gia tăng đột biến này nhấn mạnh mức độ thành công của vector tấn công ClickFix, ngay cả đối với các đối tượng đe dọa tiên tiến.

Thành công của ClickFix xuất phát từ một số yếu tố quan trọng:

• Bỏ qua bảo mật email: Không giống như các chiến dịch lừa đảo truyền thống qua email, các cuộc tấn công này đến từ kết quả tìm kiếm tự nhiên và mạng xã hội, hoàn toàn bỏ qua các giải pháp bảo mật email.
• Thực thi trong Sandbox trình duyệt: Các script độc hại được thực thi trong sandbox của trình duyệt, khiến chúng khó bị phát hiện bởi hầu hết các công cụ giám sát bảo mật.
• Tấn công không file (Fileless Attack): Các lệnh được thực thi trực tiếp trong bộ nhớ, tạo ra một tiến trình sạch, không file, giúp né tránh các biện pháp bảo mật endpoint truyền thống.

Theo Báo cáo Phòng thủ Kỹ thuật số năm 2025 của Microsoft, ClickFix đã trở thành phương pháp truy cập ban đầu phổ biến nhất, chiếm 47% tổng số các sơ đồ truy cập ban đầu.

Thống kê đáng báo động này phản ánh một sự thay đổi rộng lớn hơn trong các phương pháp tấn công, khi tội phạm mạng ưu tiên social engineering hơn là các lỗ hổng kỹ thuật (technical exploits).

Chỉ số Nhận diện (IOCs)

Dưới đây là các chỉ số nhận diện (Indicators of Compromise – IOCs) liên quan đến chiến dịch ClickFix:

• Tên mã độc:
  • ACR stealer
  • Odyssey stealer
  • SharkClipper
• URL độc hại đã biết:
  • https://drapk.net/after-verification-click-go-to-download-page/
• Các dịch vụ Google bị lạm dụng để lưu trữ trang đích độc hại:
  • Google Colab
  • Google Drive
  • Google Looker Studio
  • Google Sites
  • Google Groups
• Phương thức phân phối: Tệp ZIP được bảo vệ bằng mật khẩu chứa các tệp thực thi.

Biện pháp Phòng ngừa và Khuyến nghị Bảo mật

Những tác động đối với người dùng Windows và macOS là rất nghiêm trọng. Một khi hệ thống bị xâm nhập, chúng trở thành vector cho việc đánh cắp thông tin đăng nhập, đánh cắp dữ liệu tài chính và cài đặt thêm mã độc. Đây là một hình thức tấn công mạng có hậu quả lan rộng.

Các chuyên gia bảo mật nhấn mạnh rằng người dùng không bao giờ nên sao chép và thực thi các lệnh chưa được xác minh từ các nguồn không rõ, bất kể trang nhắc nhở có vẻ hợp pháp đến đâu. Để biết thêm chi tiết về phân tích kỹ thuật, bạn có thể tham khảo báo cáo từ Intel 471.

Các tổ chức cũng phải tăng cường khả năng phát hiện và phản ứng endpoint (EDR). Đây là tuyến phòng thủ cuối cùng chống lại các cuộc tấn công ClickFix không file có thể vượt qua các công cụ bảo mật truyền thống.

Việc nâng cao nhận thức về các kỹ thuật social engineering cũng là yếu tố then chốt để bảo vệ người dùng và hệ thống khỏi những mối đe dọa ngày càng tinh vi này.