Một chiến dịch tấn công mạng mới vừa được phát hiện, đánh dấu lần đầu tiên kỹ thuật **tấn công FileFix** được triển khai trong thế giới thực, vượt ra ngoài các bản trình diễn proof-of-concept. Chiến dịch này thể hiện sự tiến hóa đáng kể trong các chiến thuật **social engineering**, kết hợp kỹ thuật giấu tin (steganography) tiên tiến với phương pháp làm rối mã (obfuscation) nhiều lớp.

Mục tiêu của chiến dịch là phát tán mã độc đánh cắp thông tin **StealC** thông qua một vector tấn công đổi mới, được xây dựng dựa trên phương pháp **ClickFix** khét tiếng.

Sự Tiến Hóa Của Các Cuộc Tấn Công *Fix

Các nhà nghiên cứu từ Đơn vị Nghiên cứu Mối đe dọa của Acronis đã phát hiện một thông báo lỗi giả mạo của Google Chrome được sử dụng làm mồi nhử trong các cuộc tấn công lừa đảo **ClickFix/FileFix**. Sự xuất hiện của **FileFix** đại diện cho bước tiến mới nhất trong cái mà các nhà nghiên cứu bảo mật gọi chung là các cuộc tấn công “*Fix”.

Nhóm các cuộc tấn công này bao gồm **ClickFix**, **FileFix**, **PromptFix** và các biến thể khác đã lan rộng nhanh chóng trong những tháng gần đây.

Về cơ bản, các cuộc tấn công này dựa vào **social engineering** để lừa nạn nhân thực hiện các lệnh độc hại thông qua chính hệ thống của họ. Điều này biến người dùng thành những đồng phạm không biết trong việc tự xâm phạm hệ thống của mình.

Từ ClickFix Đến FileFix: Phương Pháp Khai Thác Mới

Các cuộc tấn công **ClickFix** đã có sự tăng trưởng bùng nổ, với số lượng sự cố tăng hơn **500%** trong những tháng gần đây. Kỹ thuật này thường giả mạo quy trình xác minh CAPTCHA, hướng dẫn người dùng nhấn Win+R để mở hộp thoại Windows Run, dán một lệnh được cho là vô hại bằng Ctrl+V và thực thi nó.

Mặc dù vector tấn công này có vẻ khó tin, hiệu quả của nó đã được chứng minh trong nhiều chiến dịch. Các chiến dịch này bao gồm từ việc phát tán mã độc đánh cắp thông tin thông thường đến các hoạt động cấp quốc gia triển khai mã độc truy cập từ xa (RAT).

**tấn công FileFix** khác biệt so với phương pháp **ClickFix** truyền thống bằng cách khai thác chức năng tải lên tệp HTML thay vì truy cập terminal. Khi nạn nhân tương tác với một nút tải lên tệp tiêu chuẩn, họ sẽ được hiển thị một cửa sổ File Explorer.

Kẻ tấn công sau đó sử dụng **social engineering** để lừa người dùng dán các lệnh độc hại vào thanh địa chỉ của cửa sổ này, các lệnh này sẽ được thực thi cục bộ trên máy của họ.

Cách tiếp cận này mang lại lợi thế tiềm năng so với các cuộc tấn công **ClickFix** thông thường. Cửa sổ tải lên tệp có thể truy cập phổ biến trên mọi môi trường người dùng, không giống như truy cập terminal có thể bị hạn chế trong các cài đặt của doanh nghiệp.

Chiến Dịch Lừa Đảo Tinh Vi và Kỹ Thuật Steganography

Chiến dịch được phát hiện sử dụng một hạ tầng lừa đảo được xây dựng tỉ mỉ, tập trung vào mô phỏng một trang Facebook Security rất thuyết phục. Cuộc tấn công có thể bắt đầu bằng các email lừa đảo mạo danh thông báo bảo mật của Facebook, cảnh báo người nhận về việc tài khoản sắp bị tạm ngưng và hướng dẫn họ đến trang web độc hại để khắc phục.

Khi đến trang web lừa đảo, nạn nhân gặp một tình huống khẩn cấp: tài khoản của họ đã bị báo cáo và đối mặt với việc bị tạm ngưng trong vòng bảy ngày, với nguy cơ xóa vĩnh viễn sau **180 ngày** không hoạt động.

Trang web cung cấp một tùy chọn kháng cáo ngay lập tức, tuyên bố rằng nhóm của Meta đã chia sẻ một tệp PDF chứa hướng dẫn kháng cáo. Để truy cập tài liệu giả mạo này, người dùng được hướng dẫn “mở File Explorer” và dán đường dẫn tệp được cung cấp.

Chiến thuật **social engineering** này đặc biệt hiệu quả vì nó khai thác hành vi quen thuộc của người dùng. Trong khi nhiều người dùng chưa bao giờ truy cập cửa sổ terminal, hầu như ai cũng đã sử dụng chức năng tải lên tệp.

Sự quen thuộc này, kết hợp với giọng điệu khẩn cấp và tính hợp pháp rõ ràng của ngữ cảnh bảo mật Facebook, tạo ra một kịch bản hấp dẫn để người dùng tuân thủ.

Cơ Chế Phân Phối Payload Bằng Steganography

Trang web lừa đảo thể hiện sự tinh vi kỹ thuật đáng chú ý thông qua việc làm rối mã JavaScript rộng rãi và các biện pháp chống phân tích.

Mã độc, ban đầu bao gồm khoảng **18.000 dòng**, đã được thu gọn thành chỉ **12 dòng**, làm phức tạp đáng kể nỗ lực phân tích. Tên biến và hàm bao gồm các kết hợp chữ cái ngẫu nhiên, mã bị phân mảnh xuyên suốt script, và mã chết tạo ra nhiều điểm đánh lừa.

Đáng chú ý nhất, trang web tích hợp hỗ trợ đa ngôn ngữ với bản dịch sang **16 ngôn ngữ**, bao gồm tiếng Ả Rập, Nga, Hindi, Nhật Bản, Ba Lan, Đức, Tây Ban Nha, Pháp, Mã Lai và Urdu. Việc bản địa hóa rộng rãi này cho thấy một chiến lược nhắm mục tiêu toàn cầu và đại diện cho khoản đầu tư đáng kể vào việc phát triển hạ tầng tấn công.

Một trong những khía cạnh đổi mới nhất của **tấn công FileFix** này liên quan đến việc sử dụng kỹ thuật giấu tin (steganography) để che giấu các thành phần độc hại bên trong các hình ảnh JPG có vẻ vô hại. Trong quá trình theo dõi sự phát triển của payload trong hai tuần qua, kẻ tấn công đã chuyển từ việc sử dụng các domain độc hại do chúng kiểm soát, như elprogresofood[.]com, sang chủ yếu lưu trữ trên BitBucket.

Chuỗi Lây Nhiễm Đa Giai Đoạn và Mã Độc StealC

Payload ban đầu, được phân phối thông qua cơ chế **tấn công FileFix**, bao gồm một lệnh PowerShell bị làm rối mã mạnh mẽ, thể hiện một số kỹ thuật né tránh tiên tiến.

Payload Khởi Tạo PowerShell và Các Kỹ Thuật Né Tránh

Lệnh này phân mảnh tất cả các lớp và namespace thành các biến riêng biệt, được lắp ráp lại trong quá trình thực thi, cải thiện đáng kể khả năng né tránh phát hiện. Để duy trì ảo giác về một đường dẫn tệp hợp pháp, kẻ tấn công thêm một biến chứa khoảng trắng rộng lớn, theo sau là một đường dẫn PDF giả.

Điều này đảm bảo chỉ đường dẫn vô hại xuất hiện trong thanh địa chỉ, đồng thời che giấu các lệnh độc hại. Không giống như các cuộc tấn công **ClickFix** điển hình sử dụng ký hiệu “#” để ẩn lệnh, phương pháp này sử dụng thao tác biến, có khả năng vượt qua các hệ thống phát hiện được cấu hình đặc biệt để xác định các mẫu **ClickFix** truyền thống.

Kích thước payload vượt quá đáng kể các lệnh **ClickFix** thông thường do mã hóa Base64 nhúng và các kỹ thuật phân mảnh biến. Các phiên bản chiến dịch gần đây đã giới thiệu mã hóa URL thông qua các phép toán XOR với các khóa cứng, với các URL được mã hóa được lưu trữ dưới dạng byte hex và được giải mã trong thời gian chạy.

Cuộc tấn công cũng đã di chuyển từ các domain do kẻ tấn công kiểm soát sang lưu trữ BitBucket, tăng cường hơn nữa khả năng né tránh trong khi giảm chi phí quản lý hạ tầng.

Trình Tải (Loader) Go và Phát Hiện Môi Trường

Chuỗi lây nhiễm sử dụng kiến trúc đa giai đoạn tinh vi, bắt đầu bằng việc trích xuất steganography. Payload ban đầu tải xuống các hình ảnh phong cảnh do AI tạo ra — mô tả các cảnh như nhà trong đồng cỏ hoặc ảnh macro của ốc sên — vào thư mục tạm thời của nạn nhân. Script giai đoạn hai, được lưu trữ dưới dạng văn bản thuần trong tệp hình ảnh, thiết lập các hàm giải mã RC4 và giải nén gzip.

Nó có thể trích xuất nhiều tệp từ một hình ảnh duy nhất, hỗ trợ cả định dạng DLL và tệp thực thi. Mỗi tệp EXE được trích xuất sẽ thực thi thông qua conhost.exe trước khi tự động xóa sau **12 phút**, trong khi nạn nhân nhận được thông báo lỗi giả mạo “Cannot open file!” để duy trì sự lừa dối.

Payload cuối cùng bao gồm một trình tải tinh vi được viết bằng Go, tích hợp khả năng phát hiện máy ảo và mã hóa chuỗi toàn diện. Trình tải thực hiện phát hiện sandbox cơ bản bằng cách giải mã một danh sách đen các tên card đồ họa thường liên quan đến môi trường VM và sandbox. Sau đó, nó truy vấn các thiết bị đồ họa hệ thống thông qua các lệnh gọi hàm EnumDisplayDevicesA.

Làm rối mã chuỗi mở rộng đến tất cả các tên gọi API, với các hàm chuyên dụng để giải mã và lưu trữ các tham chiếu API như EnumDisplayDevicesA và NtAllocateVirtualMemory trong thời gian chạy. Điều thú vị là các tên hàm giải mã vẫn không được mã hóa, cho thấy sự phát triển liên tục và tiềm năng cải tiến trong tương lai.

Mã Độc StealC và Mục Tiêu Đánh Cắp Dữ Liệu

Sau khi xác thực môi trường thành công, trình tải sẽ giải mã và thực thi shellcode triển khai **mã độc StealC**, một kẻ đánh cắp thông tin có khả năng nhắm mục tiêu vào các danh mục dữ liệu rộng lớn. **StealC** cố gắng thu thập thông tin đăng nhập từ nhiều trình duyệt, bao gồm Chrome, Firefox, Opera, Internet Explorer, Tencent QQ, Quark, UC Browser, Sogou Explorer và Maxthon.

Mục tiêu ví tiền điện tử bao gồm Bitcoin, Dogecoin, Raven, Daedalus, Mainnet, Blockstream, WalletWasabi, Ethereum, các biến thể Electrum, Ledger Live, Exodus, ElectronCash, MultiDoge, Jaxx Liberty, Atomic Wallet, Binance, Coinomi và Guarda.

Các mục tiêu bổ sung bao gồm các nền tảng nhắn tin như Thunderbird, Telegram và Discord; các ứng dụng VPN bao gồm OpenVPN và ProtonVPN; các nền tảng trò chơi như Ubisoft Game Launcher và Battle.net; cộng với thông tin đăng nhập dịch vụ đám mây cho Azure và AWS.

Phạm Vi Toàn Cầu và Sự Phát Triển Liên Tục

Phân tích các báo cáo gửi lên VirusTotal cho thấy phạm vi chiến dịch toàn cầu, với các tệp và trang web lừa đảo liên quan được gửi từ Hoa Kỳ, Bangladesh, Philippines, Tunisia, Nepal, Cộng hòa Dominica, Serbia, Peru, Trung Quốc, Đức và các địa điểm khác. Kết hợp với hỗ trợ đa ngôn ngữ của trang web, sự phân bố địa lý này xác nhận ý định nhắm mục tiêu quốc tế.

Sự phát triển nhanh chóng của chiến dịch trong hai tuần chứng tỏ những nỗ lực cải tiến liên tục. Các cuộc tấn công ban đầu sử dụng payload PowerShell một giai đoạn chứa các script trích xuất và giải mã hoàn chỉnh, tiến hóa thành kiến trúc hai giai đoạn hiện tại với hỗ trợ nhiều tệp thực thi và DLL được thả xuống.

Các phiên bản gần đây đã giới thiệu việc tải các script giai đoạn một từ tệp .log được lưu trữ trên BitBucket trong khi vẫn duy trì phương pháp tấn công cốt lõi.

Sự tiến hóa của payload thực thi cho thấy sự tiến bộ từ các tệp nhị phân được làm rối mã hóa bằng OLLVM sang các trình tải shellcode dựa trên Go hiện tại, cho thấy sự phát triển kỹ thuật liên tục. Các lý do **social engineering** cũng đã phát triển từ yêu cầu tải lên ID để ngăn chặn xóa tài khoản sang xem tài liệu vi phạm, mặc dù một số tàn dư ngôn ngữ cũ cho thấy chu kỳ phát triển nhanh chóng.

Chiến dịch này đại diện cho một cột mốc quan trọng trong sự tiến hóa của các cuộc tấn công **FileFix**, chứng minh cách các kỹ thuật proof-of-concept có thể nhanh chóng trưởng thành thành các vector đe dọa tinh vi.

IOCs (Indicators of Compromise)

• Domain: elprogresofood[.]com

Các Khuyến Nghị Bảo Mật

Sự kết hợp giữa **social engineering** của **tấn công FileFix**, che giấu bằng steganography, làm rối mã nhiều lớp và các kỹ thuật né tránh tiên tiến tạo ra một thách thức đáng gờm đối với các biện pháp kiểm soát bảo mật truyền thống.

Thành công của cuộc tấn công làm nổi bật tầm quan trọng cốt yếu của việc giáo dục người dùng về các chiến thuật **social engineering**, đặc biệt là những chiến thuật khai thác chức năng hệ thống quen thuộc như tải lên tệp.

Các tổ chức nên triển khai đào tạo nâng cao nhận thức bảo mật toàn diện, đặc biệt giải quyết các phương pháp tấn công *Fix. Đồng thời, duy trì khả năng phát hiện cập nhật cho việc thực thi PowerShell bị làm rối mã và phân phối payload bằng steganography.

Khi các kỹ thuật **tấn công FileFix** tiếp tục phát triển cùng với các phương pháp **ClickFix** truyền thống, các nhóm bảo mật phải chuẩn bị cho các chiến dịch **social engineering** ngày càng tinh vi. Những chiến dịch này sẽ tận dụng chức năng hệ thống hợp pháp để vượt qua các biện pháp kiểm soát kỹ thuật và khai thác tâm lý con người để truy cập ban đầu và phân phối payload.

Tham khảo thêm chi tiết về chiến dịch từ nguồn tin cậy: Acronis Threat Research Unit.