Trong một diễn biến mới của các chiến dịch lừa đảo ClickFix kéo dài suốt năm, các tác nhân đe dọa đã kết hợp kỹ thuật xã hội xác minh con người với giao thức tìm kiếm của Windows để phân phối mã độc MetaStealer. Đây là một loại infostealer phổ biến, nổi tiếng với khả năng thu thập thông tin xác thực và đánh cắp các tệp nhạy cảm, tạo ra một mối đe dọa mạng đáng kể.

Mặc dù cuộc tấn công này có vẻ tương tự như các kỹ thuật ClickFix và FileFix kinh điển, chuỗi lây nhiễm độc đáo của nó – từ một trình cài đặt AnyDesk giả mạo đến một gói MSI được ngụy trang thành PDF – cho thấy sự tinh vi ngày càng tăng của các biến thể tấn công kiểu “fix”.

Tổng quan về Mối Đe Dọa Mạng mới: Biến thể ClickFix và MetaStealer

Khai thác URI Scheme ‘search-ms’ của Windows

Điểm khác biệt chính của chiến dịch này nằm ở việc khai thác URI scheme search-ms của Windows. Khi nạn nhân nhấp vào nút “verify” trên trang phishing, trình duyệt sẽ tự động kích hoạt File Explorer của Windows và mở một truy vấn tìm kiếm tùy chỉnh. Truy vấn này được định nghĩa bởi tham số displayname trong giao thức search-ms URI.

Kỹ thuật này cho phép các tác nhân đe dọa tạo ra một luồng tương tác mà không cần nạn nhân chủ động dán mã vào hộp thoại Run (như ClickFix truyền thống) hoặc thanh địa chỉ File Explorer (như FileFix). Điều này giúp giảm thiểu sự nghi ngờ từ phía người dùng.

Chuỗi Tấn Công Mạng và Kỹ thuật Khai thác

Giai đoạn Khởi đầu: Trang Phishing AnyDesk giả mạo

Cuộc tấn công bắt đầu khi một mục tiêu tìm kiếm công cụ truy cập từ xa AnyDesk hợp pháp và truy cập vào một trang phishing, cụ thể là anydeesk[.]ink/download/anydesk.html. Trang này hiển thị một lời nhắc xác minh con người giả mạo, trông giống như Cloudflare Turnstile.

Mã JavaScript bị làm rối trên trang này, sau khi được giải mã, sẽ chuyển hướng nạn nhân đến verification.anydeesk[.]ink/reCAPTCHA-v2.php. Tại đây, việc nhấp vào hộp xác minh sẽ kích hoạt một cuộc tấn công vào Windows File Explorer thay vì một lệnh PowerShell đơn giản hoặc thực thi hộp thoại Run, vốn là các phương pháp phổ biến trong các chiến dịch ClickFix trước đây.

Phương thức phân phối mã độc qua SMB Share và tệp LNK

Truy vấn tìm kiếm tùy chỉnh được kích hoạt sẽ lặng lẽ kết nối với một SMB share do kẻ tấn công kiểm soát. Sau đó, nó hiển thị cho người dùng một tệp có vẻ là PDF với tên Readme AnyDesk.pdf. Tuy nhiên, đằng sau lớp vỏ PDF này là một tệp tắt Windows độc hại (LNK file).

Khi tệp tắt này được thực thi, payload của nó sẽ kích hoạt hai hành động đồng thời: một là âm thầm tải xuống trình cài đặt AnyDesk hợp pháp thông qua Microsoft Edge (có thể để đánh lừa người dùng rằng một ứng dụng chính hãng đang được cài đặt), và hai là tải một tệp “PDF” từ chat1[.]store vào một thư mục tạm thời. Trình cài đặt “PDF” này sử dụng biến môi trường %COMPUTERNAME% của nạn nhân để tạo URL tải xuống, giúp kẻ tấn công thu thập hostname mà không cần cấu hình trước cho từng chiến dịch.

Phân Tích Chi Tiết Mã Độc MetaStealer

Quá trình Triển khai và Cơ chế Hoạt động

Phân tích máy chủ chat1[.]store, được truy cập thông qua tác nhân người dùng curl, đã tiết lộ gói MSI hoàn chỉnh. Bên trong gói này, một CustomActionDLL và một kho lưu trữ CAB nén (Binary.bz.WrappedSetupProgram) giải nén hai thành phần độc hại chính: một tệp JavaScript dọn dẹp (1.js) và ls26.exe – dropper của MetaStealer.

Tệp ls26.exe, được bảo vệ bằng Private EXE Protector, hoạt động giống hệt như các mẫu MetaStealer đã biết. Nó thực hiện quét các thông tin xác thực trình duyệt, tệp ví tiền điện tử và các kho tài liệu trước khi thực hiện hành vi đánh cắp dữ liệu.

Chức năng và Mục tiêu của MetaStealer

MetaStealer được thiết kế để thu thập một loạt thông tin nhạy cảm từ hệ thống bị nhiễm. Các mục tiêu chính bao gồm:

• Thông tin đăng nhập và mật khẩu được lưu trữ trong trình duyệt.
• Dữ liệu liên quan đến ví tiền điện tử.
• Các tệp và tài liệu quan trọng lưu trữ trên máy tính.

Sau khi thu thập, thông tin này sẽ được đánh cắp dữ liệu và gửi về máy chủ của kẻ tấn công, gây ra nguy cơ nghiêm trọng về rò rỉ thông tin cá nhân và tài chính, một mối đe dọa mạng lớn đối với các tổ chức và cá nhân.

Các Chỉ Số Nhận Diện (IOCs)

Dưới đây là các chỉ số nhận diện liên quan đến chiến dịch tấn công này:

• Tên miền độc hại:anydeesk[.]ink
• Tên miền độc hại:verification.anydeesk[.]ink
• Tên miền độc hại:chat1[.]store
• Tên tệp độc hại:Readme AnyDesk.pdf (thực chất là tệp LNK)
• Tên tệp độc hại:ls26.exe (MetaStealer dropper)
• Tên tệp độc hại:1.js (JavaScript dọn dẹp)

Điểm Khác Biệt và Sự Phát triển của Kỹ thuật Tấn Công

Cuộc tấn công này có nhiều yếu tố chung với các chiêu trò ClickFix và FileFix truyền thống, cụ thể là các lời nhắc kỹ thuật xã hội ngụy trang thành CAPTCHA. Tuy nhiên, sự chuyển đổi sang sử dụng URI search-ms và SMB shares đánh dấu một sự phát triển đáng kể trong kỹ thuật tấn công.

Không giống như ClickFix, vốn thuyết phục người dùng dán lệnh vào hộp thoại Run, và FileFix, khai thác thanh địa chỉ File Explorer, biến thể mới hoàn toàn bỏ qua sự nghi ngờ của người dùng bằng cách cung cấp một cài đặt Remote Desktop quen thuộc cùng với một trình cài đặt độc hại. Điều này làm cho việc phát hiện và phòng ngừa trở nên phức tạp hơn, làm tăng mức độ rủi ro của mối đe dọa mạng này.

Chiến Lược Phòng Ngừa và Giảm Thiểu Rủi Ro

Các tổ chức đã giảm thiểu các mối đe dọa ClickFix cổ điển bằng cách vô hiệu hóa hoặc hạn chế hộp thoại Run của Windows có thể vẫn dễ bị tổn thương trước các chiêu trò dựa trên search-ms URI. Để tăng cường khả năng phòng thủ chống lại loại tấn công mạng tinh vi này, cần áp dụng các biện pháp sau:

• Đào tạo người dùng: Thường xuyên huấn luyện người dùng về các mối đe dọa kỹ thuật xã hội, cách nhận diện các trang web giả mạo và các yêu cầu xác minh đáng ngờ.
• Kiểm soát kỹ thuật đa lớp: Triển khai các giải pháp bảo mật nhiều lớp bao gồm tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), phần mềm diệt virus/EDR và các bộ lọc web để chặn truy cập vào các tên miền độc hại.
• Giám sát lưu lượng mạng: Giám sát chặt chẽ lưu lượng mạng để phát hiện các kết nối bất thường tới các SMB shares bên ngoài hoặc các hoạt động tải xuống không được ủy quyền.
• Cập nhật hệ thống và phần mềm: Đảm bảo tất cả hệ điều hành, trình duyệt và ứng dụng được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng có thể bị khai thác.
• Chính sách hạn chế: Cân nhắc các chính sách hạn chế việc thực thi các tệp từ các nguồn không đáng tin cậy hoặc thông qua các cơ chế tải xuống tự động, có thể tham khảo thêm tại Huntress Blog để có thêm thông tin chi tiết về các biện pháp giảm thiểu.

Khi các tác nhân đe dọa tiếp tục tinh chỉnh các cuộc tấn công kiểu “fix”, việc kết hợp các tính năng hợp pháp với kỹ thuật xã hội sẽ vẫn là một chiến thuật né tránh mạnh mẽ. Việc đào tạo người dùng cảnh giác và kiểm soát kỹ thuật nhiều lớp là yếu tố cần thiết để phát hiện và phá vỡ các chuỗi lây nhiễm đang phát triển này trước khi chúng phân phối các infostealer như MetaStealer và gây ra các mối đe dọa mạng nghiêm trọng.