Các nhà nghiên cứu an ninh mạng vừa phát hiện một làn sóng mới của các tấn công mạng ClickFix, hiện đang khai thác Windows Terminal để đưa các payload độc hại trực tiếp lên máy nạn nhân. Chiến dịch này đánh dấu sự thay đổi đáng kể trong kỹ thuật social engineering, tập trung vào việc lừa người dùng tự khởi chạy một môi trường dòng lệnh đặc quyền.

Không giống như các phiên bản trước dựa vào hộp thoại Run của Windows, chiến dịch mới này hướng dẫn người dùng tự mở Windows Terminal. Điều này khiến cho việc phát hiện trở nên khó khăn hơn và tăng tính thuyết phục đối với người dùng thông thường.

Sự Phát Triển của Chiến Dịch ClickFix

ClickFix lần đầu xuất hiện vào đầu năm 2024, khi các nhà nghiên cứu tại Proofpoint phát hiện nó sử dụng các thông báo lỗi trình duyệt giả mạo để lừa người dùng thực thi các lệnh độc hại. Kỹ thuật này đã lan rộng nhanh chóng.

ESET đã ghi nhận mức tăng 517% trong các cuộc tấn công ClickFix xuyên suốt năm 2025. Điều này đưa ClickFix trở thành vector tấn công toàn cầu đứng thứ hai, chỉ sau phishing.

Kỹ Thuật Social Engineering và Mục Tiêu

Kẻ tấn công thường tạo ra các trang CAPTCHA giả mạo, thông báo khắc phục sự cố sai lệch, hoặc các cảnh báo bảo mật khẩn cấp. Tất cả đều được thiết kế để gây áp lực, buộc nạn nhân phải hành động trước khi kịp đặt câu hỏi về yêu cầu.

Vào tháng 2 năm 2026, các nhà phân tích từ Microsoft Threat Intelligence đã xác định một chiến dịch ClickFix quy mô lớn nhắm mục tiêu cụ thể vào Windows Terminal như một môi trường thực thi mới.

Thay vì hướng nạn nhân đến hộp thoại Run truyền thống qua phím tắt Win + R, chiến dịch này yêu cầu họ sử dụng tổ hợp phím Windows + X sau đó nhấn “I” để khởi chạy Windows Terminal trực tiếp.

Cách tiếp cận này cho phép kẻ tấn công né tránh các công cụ bảo mật được thiết kế để gắn cờ việc lạm dụng hộp thoại Run. Đồng thời, nó đưa nạn nhân vào một môi trường dòng lệnh giống như các tác vụ IT định kỳ, tăng khả năng người dùng chấp nhận rủi ro.

Tác Động và Payload Chính: Lumma Stealer

Thiệt hại do chiến dịch này gây ra là rõ ràng và có thể đo lường được. Theo Báo cáo Phòng thủ Kỹ thuật số của Microsoft năm 2025, ClickFix hiện là phương pháp truy cập ban đầu hàng đầu, chiếm 47% tổng số các cuộc tấn công được Microsoft Defender Experts theo dõi. Con số này vượt qua hình thức phishing truyền thống (35%).

Payload cuối cùng trong chiến dịch ClickFix mới nhất này là Lumma Stealer, một malware chuyên thu thập thông tin đăng nhập. Lumma Stealer được thiết kế để trích xuất tên người dùng, mật khẩu đã lưu và dữ liệu trình duyệt nhạy cảm từ Chrome và Edge.

Thông tin chi tiết về các cuộc tấn công này đã được cảnh báo bởi Microsoft và các nhà nghiên cứu an ninh, nhấn mạnh sự nguy hiểm của kỹ thuật social engineering tinh vi này. Bạn có thể tham khảo thêm tại Security Affairs để có cái nhìn sâu hơn về cảnh báo của Microsoft.

Quy Trình Triển Khai Tấn Công

Cuộc tấn công bắt đầu khi nạn nhân truy cập một trang web bị xâm nhập hoặc độc hại. JavaScript ẩn chạy phía sau trang sẽ âm thầm sao chép một lệnh PowerShell được mã hóa hex và nén XOR vào clipboard của người dùng mà không có bất kỳ dấu hiệu trực quan nào.

Sau đó, một lời nhắc CAPTCHA hoặc xác minh giả mạo xuất hiện trên màn hình, mạo danh các thương hiệu đáng tin cậy như Cloudflare hoặc Microsoft. Nó hướng dẫn người dùng mở Windows Terminal và dán nội dung trong clipboard để “khắc phục” một vấn đề giả định.

Một khi lệnh được dán vào Windows Terminal, một tiến trình PowerShell sẽ giải mã script đã nén hoàn toàn trong bộ nhớ. Sau đó, nó bắt đầu thực hiện các kết nối ra bên ngoài đến các máy chủ do kẻ tấn công kiểm soát.

Nó tải xuống một tệp thực thi 7-Zip đã đổi tên và một kho lưu trữ ZIP chứa giai đoạn tiếp theo của cuộc tấn công. Tệp này được giải nén và thực thi âm thầm, không có bất kỳ lời nhắc nào xuất hiện trên màn hình. Điều này khiến nạn nhân không có lý do gì để nghi ngờ có điều gì đó không ổn.

Cơ Chế Duy Trì và Thu Thập Dữ Liệu

Malware sau đó thiết lập sự duy trì bằng cách ghi một tác vụ đã lên lịch (scheduled task) chạy mỗi khi hệ thống khởi động lại. Lumma Stealer được thả vào thư mục C:ProgramDataapp_configctjb.

Nó sử dụng kỹ thuật QueueUserAPC() injection để chèn chính nó vào các tiến trình trình duyệt đang hoạt động, bao gồm chrome.exe và msedge.exe. Sau khi được nhúng vào các tiến trình này, nó đọc các tệp Login Data và Web Data được lưu trữ bởi trình duyệt.

Malware thu thập các thông tin đăng nhập đã lưu và các mục tự động điền nhạy cảm. Sau đó, tất cả dữ liệu này được gửi đến cơ sở hạ tầng từ xa của kẻ tấn công. Đây là một mối đe dọa mạng đáng kể đối với thông tin cá nhân và doanh nghiệp.

Thách Thức Trong Phát Hiện và Phòng Ngừa

Việc phát hiện trở nên khó khăn hơn vì wt.exe (Windows Terminal) là một thành phần hệ thống đáng tin cậy trên nhiều máy Windows. Các công cụ giám sát bảo mật có thể không ngay lập tức gắn cờ hoạt động PowerShell được khởi tạo từ Windows Terminal. Điều này giúp kẻ tấn công có thời gian không bị phát hiện để hoàn thành chuỗi lây nhiễm.

Vì chiến dịch này lạm dụng hành vi của con người thay vì một lỗ hổng phần mềm, không có bản vá phần mềm truyền thống nào tồn tại. Nhận thức bảo mật và các biện pháp kiểm soát chính sách nghiêm ngặt vẫn là những biện pháp phòng thủ hiệu quả nhất chống lại kiểu tấn công mạng này.

Các Chỉ Dấu Thỏa Hiệp (IOCs)

Mặc dù đây không phải là một chiến dịch dựa trên lỗ hổng bảo mật cụ thể, nhưng có các chỉ dấu giúp nhận diện hoạt động độc hại:

• Tên mã độc: Lumma Stealer
• Đường dẫn lưu trữ:C:ProgramDataapp_configctjb
• Kỹ thuật: Sử dụng QueueUserAPC() injection vào các tiến trình trình duyệt (chrome.exe, msedge.exe).
• Quá trình khởi tạo: Tiến trình PowerShell được tạo bởi wt.exe thực hiện các kết nối ra bên ngoài và tải xuống các tệp.

Biện Pháp Phòng Ngừa và Giảm Thiểu

Để giảm thiểu nguy cơ tiếp xúc với mối đe dọa này, các tổ chức nên triển khai các biện pháp sau:

• Đào tạo nhận thức nhân viên: Huấn luyện nhân viên không bao giờ dán các lệnh vào bất kỳ terminal nào được yêu cầu bởi một trang web.
• Hạn chế sử dụng Windows Terminal và PowerShell: Các công cụ này nên được giới hạn cho các tài khoản quản trị thông qua Group Policy.
• Kiểm tra khóa registry: Các đội ngũ bảo mật nên thường xuyên kiểm tra các khóa registry dưới HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
• Xem xét tác vụ đã lên lịch: Rà soát Windows Task Scheduler để tìm các tác vụ đã lên lịch không được nhận diện.
• Giám sát Endpoint: Các công cụ phát hiện endpoint (EDR) nên được cấu hình để giám sát và cảnh báo về các tiến trình PowerShell được khởi tạo bởi wt.exe.
• Cập nhật định nghĩa chống mã độc: Các định nghĩa chống mã độc cần được cập nhật thường xuyên trên tất cả các endpoint để đảm bảo an ninh mạng.