Trong bối cảnh trí tuệ nhân tạo (AI) ngày càng phát triển, các đối tượng tội phạm mạng đã tìm ra một phương pháp tinh vi để lừa đảo các nhà phát triển và chuyên gia IT. Chúng thiết lập các trang tải xuống giả mạo, mạo danh Claude Code – một trợ lý mã hóa AI hợp pháp, nhằm triển khai phần mềm độc hại infostealer lên hệ thống của nạn nhân. Đây là một ví dụ điển hình của chiến dịch tấn công mạng khai thác lòng tin vào công nghệ mới.

Các trang lừa đảo này được thiết kế để dụ dỗ người dùng tải xuống một gói cài đặt trông có vẻ chính thức, nhưng thực chất lại âm thầm cài đặt phần mềm độc hại. Việc lợi dụng một công cụ AI phổ biến làm mồi nhử phản ánh một xu hướng đáng lo ngại, nơi các tác nhân đe dọa khai thác sự phổ biến của các nền tảng AI để vượt qua các biện pháp phòng vệ và sự nghi ngờ của người dùng.

Phân tích Kỹ thuật Chiến dịch Lừa đảo AI Claude Code

Chiến dịch tấn công mạng này lần đầu tiên được phát hiện thông qua một đợt phân phối sử dụng tên miền it..com làm kênh lây nhiễm. Nạn nhân bị lôi kéo đến những trang web này, vốn được ngụy tạo một cách tỉ mỉ để giống hệt các cổng tải xuống phần mềm chính thức.

Khi người dùng nhấp vào nút tải xuống, thay vì nhận được phần mềm hợp pháp, trang web sẽ kích hoạt một chuỗi thực thi độc hại bắt đầu ngay khi tệp được mở. Thiết kế thuyết phục của các trang giả mạo này khiến người dùng khó lòng nghi ngờ tính xác thực của tệp trước khi phần mềm độc hại kịp lây nhiễm vào hệ thống.

Kỹ thuật Lây nhiễm và Lạm dụng mshta.exe

Nhà phân tích an ninh mạng Maurice Fielenbach đã xác định chiến dịch này và lưu ý rằng cuộc tấn công này sử dụng một infostealer dựa trên MSHTA đơn giản. Ông nhấn mạnh rằng mshta.exe, một tệp nhị phân hợp pháp của Microsoft Windows, là một quy trình cần được giám sát chặt chẽ. Lý do là kẻ tấn công thường xuyên lạm dụng nó để thực thi các tệp ứng dụng HTML (HTA) độc hại được tải trực tiếp từ các nguồn từ xa.

Việc giám sát hoạt động thực thi HTA từ các nguồn bên ngoài được đánh giá là một chỉ báo mạnh mẽ về hoạt động của kẻ tấn công. mshta.exe là một công cụ đáng tin cậy, gốc của hệ thống, nên nhiều sản phẩm bảo mật thường bỏ qua hoạt động của nó theo mặc định, khiến nó trở thành một phương tiện ít bị phát hiện cho kẻ tấn công.

Kỹ thuật này được gọi là Living off the Land, được phân loại trong MITRE ATT&CK là T1218.005. Nó cho phép phần mềm độc hại thực thi mà không cần lưu trữ một tệp thực thi truyền thống vào đĩa, giảm đáng kể dấu vết để lại và gây khó khăn cho việc phát hiện. Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng nhằm duy trì khả năng ẩn danh và né tránh các giải pháp bảo mật truyền thống.

Khi nạn nhân tương tác với trang tải xuống giả mạo, mshta.exe được kích hoạt để tìm nạp và chạy một tệp HTA từ xa chứa mã độc nhúng. Mã này sẽ thực hiện các chức năng cốt lõi của infostealer – bao gồm thu thập thông tin đăng nhập, dữ liệu trình duyệt và các thông tin nhạy cảm khác – hoàn toàn trong bộ nhớ.

Việc thực thi HTA từ xa có nghĩa là payload độc hại không bao giờ được lưu trữ dưới dạng một tệp vật lý độc lập trên hệ thống. Điều này làm cho quá trình điều tra pháp y và phục hồi dữ liệu trở nên khó khăn hơn đáng kể đối với các đội ứng phó sự cố sau một cuộc tấn công.

Cơ chế Hoạt động của Infostealer và Nguy cơ Đánh cắp Dữ liệu

Tác động của mã độc infostealer này có thể rất nghiêm trọng đối với bất kỳ người dùng nào bị ảnh hưởng. Một khi phần mềm độc hại xâm nhập vào máy của nạn nhân, nó có khả năng thu thập một loạt các dữ liệu nhạy cảm:

• Thông tin đăng nhập được lưu trữ trong trình duyệt (tên người dùng, mật khẩu).
• Mã thông báo phiên (session tokens) cho phép truy cập tài khoản mà không cần mật khẩu.
• Dữ liệu duyệt web và lịch sử truy cập.
• Các thông tin cá nhân và nhạy cảm khác.

Tất cả dữ liệu này sau đó sẽ được gửi đến cơ sở hạ tầng do kẻ tấn công kiểm soát. Đây là hành vi đánh cắp dữ liệu trực tiếp và có thể gây ra những hậu quả nghiêm trọng.

Chỉ số Thỏa hiệp (IOCs)

Việc nhận diện sớm các chỉ số thỏa hiệp là rất quan trọng để phát hiện và ngăn chặn các cuộc tấn công.

• Tên miền phân phối:it..com
• Kỹ thuật tấn công: Lạm dụng mshta.exe (MITRE ATT&CK T1218.005) để thực thi mã từ xa.
• Loại phần mềm độc hại: Infostealer (mã độc đánh cắp thông tin).

Để biết thêm chi tiết về phân tích ban đầu của chiến dịch này, bạn có thể tham khảo bài đăng của Maurice Fielenbach trên LinkedIn.

Tác động Đối với Nhà phát triển và An ninh Tổ chức

Đối với các nhà phát triển, những người thường là mục tiêu chính của các cuộc tấn công mạng như vậy, hậu quả vượt xa việc mất dữ liệu cá nhân. Thông tin đăng nhập bị xâm phạm có thể mở ra cánh cửa đến các tài nguyên quan trọng:

• Kho lưu trữ mã nguồn (code repositories): Dẫn đến rò rỉ mã độc quyền hoặc chèn mã độc hại.
• Môi trường đám mây: Cho phép kẻ tấn công truy cập vào tài nguyên và dữ liệu nhạy cảm của công ty.
• Hệ thống nội bộ: Có thể tạo ra điểm khởi đầu cho các cuộc tấn công sâu hơn vào mạng lưới tổ chức.

Những sự cố này có khả năng gây ra các sự cố an ninh tổ chức rộng lớn hơn nhiều. Các chiến dịch tương tự đã được ghi nhận, ví dụ như việc lạm dụng các tạo phẩm Claude LLM để phân phối infostealer trên hệ điều hành Mac trong chiến dịch ClickFix, theo báo cáo của BleepingComputer, cho thấy đây là một mối đe dọa liên tục.

Chiến lược Phòng ngừa và Phát hiện Hiệu quả

Để đối phó với những mối đe dọa như thế này, các tổ chức và người dùng cần áp dụng các biện pháp phòng ngừa và phát hiện chủ động.

Giám sát Chuyên sâu Hoạt động mshta.exe

Các nhóm bảo mật được khuyến nghị mạnh mẽ nên kích hoạt nhật ký chi tiết cho tất cả hoạt động của mshta.exe trên các điểm cuối. Điều này bao gồm ghi lại mọi trường hợp mshta.exe kết nối với các URL bên ngoài hoặc khởi chạy các tập lệnh từ xa. Việc giám sát chủ động giúp phát hiện sớm các dấu hiệu của một cuộc tấn công mạng.

Các tổ chức cũng nên xem xét việc hạn chế thực thi mshta.exe thông qua các chính sách kiểm soát ứng dụng (Application Control) khi các yêu cầu hoạt động của họ cho phép. Việc này giảm thiểu bề mặt tấn công và ngăn chặn việc lạm dụng tệp nhị phân hợp pháp để đánh cắp dữ liệu.

Hướng dẫn Cấu hình Sysmon để Giám sát mshta.exe

Để triển khai giám sát hiệu quả hoạt động của mshta.exe, các tổ chức có thể sử dụng công cụ Sysmon của Microsoft và cấu hình nó để ghi lại các sự kiện cụ thể. Dưới đây là một cấu hình mẫu:

<Sysmon schemaversion="4.90">
    <EventFiltering>
        <!-- Ghi lại quá trình tạo mshta.exe khi nó chứa URL trong dòng lệnh -->
        <ProcessCreate onmatch="include">
            <Image condition="endwith">mshta.exe</Image>
            <CommandLine condition="contains">http://</CommandLine>
            <CommandLine condition="contains">https://</CommandLine>
        </ProcessCreate>
        <!-- Ghi lại các kết nối mạng do mshta.exe thực hiện đến các IP bên ngoài -->
        <NetworkConnect onmatch="include">
            <Image condition="endwith">mshta.exe</Image>
            <DestinationIp is not="127.0.0.1"/>
            <DestinationIp is not="::1"/>
            <!-- Loại trừ các cổng phổ biến để giảm nhiễu nếu cần -->
            <!-- <DestinationPort name="exclude">80,443</DestinationPort> -->
        </NetworkConnect>
        <!-- Giám sát việc tạo tệp HTA bởi mshta.exe nếu có (dù không phổ biến trong trường hợp này) -->
        <FileCreate onmatch="include">
            <Image condition="endwith">mshta.exe</Image>
            <TargetFilename condition="contains">.hta</TargetFilename>
        </FileCreate>
    </EventFiltering>
</Sysmon>

Cấu hình này sẽ ghi lại các sự kiện tạo tiến trình mshta.exe khi nó cố gắng truy cập các URL từ xa và giám sát các kết nối mạng mà mshta.exe thực hiện đến các địa chỉ IP không phải là localhost. Việc này đặc biệt quan trọng để phát hiện hành vi đánh cắp dữ liệu ẩn mình trong hoạt động hợp pháp của hệ thống.

Tăng cường Nhận thức và Thực hành An toàn cho Người dùng

Người dùng phải luôn xác minh nguồn gốc của các bản tải xuống phần mềm từ các nguồn chính thức của nhà cung cấp. Tuyệt đối tránh tải xuống các công cụ từ các trang web của bên thứ ba hoặc không quen thuộc, bất kể trang đó có vẻ chân thực và đáng tin cậy đến mức nào. Sự thận trọng là lớp phòng thủ đầu tiên chống lại các cuộc tấn công mạng lừa đảo.

Việc cập nhật kiến thức về các mối đe dọa mới nhất và tuân thủ các nguyên tắc bảo mật cơ bản là chìa khóa để bảo vệ bản thân và tổ chức khỏi các phần mềm độc hại và các chiến dịch lừa đảo tinh vi.