Tấn công mạng GlitchFix: Nguy hiểm Social Engineering mới

Kỹ thuật GlitchFix, một phương pháp tấn công mạng mới dựa trên social engineering, đã xuất hiện, được cung cấp bởi ErrTraffic – một hệ thống phân phối lưu lượng truy cập chuyên biệt. Mục tiêu của nó là đánh lừa người dùng tải về mã độc thông qua các trang web bị làm cho lỗi về mặt hình ảnh.

GlitchFix và Nền tảng Phân phối Lưu lượng ErrTraffic

Bản chất của Kỹ thuật Social Engineering GlitchFix

Kỹ thuật GlitchFix là một biến thể tiên tiến của phương pháp tấn công mạng thông qua social engineering, nổi bật bởi việc cố tình làm hỏng giao diện trang web. Bằng cách tạo ra các biến dạng hình ảnh và hiệu ứng hỗn loạn, GlitchFix đánh lừa người dùng tin rằng trình duyệt hoặc hệ thống của họ cần một bản cập nhật khẩn cấp.

Nền tảng này mở rộng cách tiếp cận ClickFix truyền thống, vốn đã được biết đến trong giới bảo mật. So với các cuộc tấn công lừa đảo cơ bản, GlitchFix tạo ra cảm giác cấp bách thuyết phục bằng cách xáo trộn nội dung trang với các ký tự rác, áp dụng các biến dạng CSS và kích hoạt hiệu ứng chuột rung lắc.

Điều đáng chú ý là trong khi toàn bộ trang bị lỗi, lời nhắc cập nhật giả mạo vẫn hoàn toàn dễ đọc, tăng cường độ tin cậy của chiêu trò.

Để hiểu thêm về cách thức hoạt động của các kỹ thuật tương tự, có thể tham khảo thêm về cách tin tặc lợi dụng kỹ thuật ClickFix.

Chi phí và Phạm vi Tác động của Nền tảng ErrTraffic

Nền tảng ErrTraffic được cung cấp như một giải pháp hoàn chỉnh cho tội phạm mạng, với chi phí khoảng 800 USD. Nó cho phép triển khai các chiến dịch lừa đảo quy mô lớn trên nhiều hệ điều hành khác nhau, góp phần gia tăng các mối đe dọa mạng toàn cầu.

ErrTraffic được thiết kế để nhắm mục tiêu vào các thiết bị chạy Windows, macOS, Android và Linux. Đồng thời, nó hỗ trợ tới tám ngôn ngữ khác nhau, mở rộng khả năng tiếp cận và thực hiện các chiến dịch tấn công mạng trên phạm vi quốc tế.

Cơ chế Tấn công Chi tiết của ErrTraffic

Chuỗi Lây nhiễm Đa Giai đoạn

Hệ thống ErrTraffic hoạt động thông qua một chuỗi lây nhiễm gồm nhiều giai đoạn, khởi đầu khi nạn nhân truy cập các trang web đã bị xâm nhập và chứa các thẻ script độc hại được chèn vào. Đây là điểm khởi đầu của nhiều tấn công mạng hiện đại.

Mã JavaScript độc hại sau đó được tải từ bảng điều khiển ErrTraffic và ngay lập tức thực hiện việc nhận diện dấu vân tay (fingerprint) của trình duyệt, hệ điều hành và cài đặt ngôn ngữ của nạn nhân.

Lọc Địa lý và Phát hiện Bot tinh vi

Giai đoạn tiếp theo là lọc địa lý, sử dụng API ipwho.is để chặn quyền truy cập từ các quốc gia CIS, bao gồm Nga, Ukraine và Kazakhstan. Đây là một chỉ số mạnh mẽ cho thấy khả năng liên quan đến các tác nhân đe dọa nói tiếng Nga, những kẻ thường đứng sau các mối đe dọa mạng phức tạp.

Nếu nạn nhân vượt qua được các kiểm tra định vị địa lý và phát hiện bot, trang web sẽ chuyển sang “chế độ hỗn loạn” (chaos mode), một dấu hiệu rõ ràng của một cuộc tấn công mạng đang diễn ra.

Kỹ thuật “Chaos Mode”

Trong chế độ này, văn bản trên trang bị biến đổi thành các ký tự Unicode không đọc được, trong khi các phép biến đổi CSS làm lệch và xoay bố cục trang. Hệ thống giám sát nội dung động bằng API MutationObserver, đảm bảo các yếu tố mới tải lên cũng nhận được xử lý biến dạng tương tự.

Sau một khoảng thời gian trì hoãn có thể cấu hình (thường là một giây), một cửa sổ modal sạch sẽ xuất hiện, cung cấp các bản cập nhật trình duyệt, cài đặt phông chữ, hoặc trong phiên bản 3, khả năng thực thi lệnh PowerShell.

Phân phối Payload và Kỹ thuật Né Tránh Phát hiện

Khi nạn nhân nhấp vào nút cập nhật, script sẽ yêu cầu một mã thông báo tải xuống (one-time download token) từ máy chủ bảng điều khiển. Hệ thống phân phối dựa trên mã thông báo này ngăn cản các nhà nghiên cứu truy cập trực tiếp payload mà không hoàn thành toàn bộ quy trình tấn công mạng.

Sau khi xác thực, hệ thống phục vụ các trình cài đặt RMM (Remote Monitoring and Management) dành riêng cho từng hệ điều hành thông qua các iframe ẩn, thiết lập quyền truy cập từ xa bền vững. Các công cụ này, bao gồm FleetDeck, ITarian MDM và ConnectWise Control, thường được các sản phẩm bảo mật cho phép (allowlisted) do có chữ ký số hợp lệ, gây khó khăn cho việc phát hiện của các biện pháp phòng thủ truyền thống trước các mối đe dọa mạng.

Chế độ ClickFix Nâng cao của Phiên bản 3

Chế độ ClickFix của phiên bản 3 còn tiến xa hơn, bỏ qua hoàn toàn các biện pháp bảo vệ tải xuống truyền thống. Thay vào đó, nó sao chép các lệnh PowerShell đã bị mã hóa vào clipboard, hướng dẫn người dùng tự thực thi các lệnh trong terminal. Đây là một phương pháp tinh vi để lây nhiễm hệ thống mà không cần người dùng thực hiện tải xuống trực tiếp, một hình thức tấn công mạng đáng lo ngại.

Hạ tầng và Khả năng Né Tránh Tác nhân Đe dọa

Phát hiện Hạ tầng bởi Censys

Các nhà phân tích của Censys đã xác định được cơ sở hạ tầng của mối đe dọa mạng này sau khi phát hiện năm máy chủ vật lý đang chạy các bảng điều khiển ErrTraffic trên ba hệ thống tự trị (AS), lưu trữ mười một tên miền độc đáo.

Các nhà nghiên cứu đã tìm thấy hai phiên bản riêng biệt hoạt động đồng thời: phiên bản 2 với mã JavaScript không bị che giấu và giao diện quản trị chỉ bằng tiếng Nga, và phiên bản 3 với tính năng che giấu payload dựa trên XOR và chế độ ClickFix nâng cao. Một trường hợp cấu hình sai đã làm lộ toàn bộ mã nguồn, cung cấp cái nhìn chi tiết về hoạt động này.

Thông tin chi tiết về quá trình phân tích này đã được công bố bởi Censys trong bài viết chuyên sâu về ErrTraffic.

Các Biện pháp Né Tránh Phát hiện

Nền tảng này bao gồm các khả năng né tránh tinh vi, với các mẫu phát hiện bot nhắm mục tiêu vào các trình quét bảo mật, trình duyệt không đầu (headless browsers) và các công cụ tự động. Điều này đặt ra thách thức lớn cho các hệ thống an ninh mạng.

Hạ tầng sử dụng các tên miền cấp cao (TLD) giá rẻ và dịch vụ tên miền phụ miễn phí. Đáng chú ý, một số bảng điều khiển còn mạo danh các cơ quan chính phủ, ví dụ như update211.security-ssa-gov.com, nhằm tăng độ tin cậy giả mạo trong các chiến dịch tấn công mạng của mình.

Chỉ số Nhận dạng Nguy cơ (IOCs) và Biện pháp Phòng thủ

IOCs Đặc trưng

Các chữ ký phát hiện dựa trên cookie errtraffic_session và các đường dẫn API cụ thể. Việc giám sát các yếu tố này có thể giúp nhận diện mối đe dọa mạng:

• Cookie: errtraffic_session
• Đường dẫn API (phiên bản 2): /api/css.js.php
• Đường dẫn API (phiên bản 3): /api/css.js

Khuyến nghị Phòng thủ

Để tăng cường an ninh mạng và bảo vệ hệ thống khỏi các tấn công mạng tương tự, các tổ chức nên tập trung vào các biện pháp sau:

• Giám sát mạng: Theo dõi lưu lượng mạng để phát hiện sự hiện diện của cookie errtraffic_session.
• Giáo dục người dùng: Đào tạo người dùng về các dấu hiệu của lời nhắc cập nhật giả mạo và các kỹ thuật social engineering khác.
• Theo dõi cài đặt RMM: Giám sát chặt chẽ các công cụ Remote Monitoring and Management (RMM) được cài đặt bất thường trên các thiết bị trong mạng lưới. Các công cụ RMM có thể là một con đường lây nhiễm phổ biến cho các tác nhân đe dọa, làm suy yếu bảo mật thông tin.

Các tổ chức nên ưu tiên tăng cường bảo mật cho phần mềm RMM để giảm thiểu rủi ro bị lạm dụng.

Mô hình Mã độc Dịch vụ (MaaS)

Mô hình Malware-as-a-Service (MaaS) của ErrTraffic bao gồm các tính năng đăng ký với các trường hết hạn thuê, cho thấy sự phát triển liên tục và hỗ trợ từ nhà điều hành vượt ra ngoài mức giá mua ban đầu là 800 USD.

Điều này chứng tỏ rằng mối đe dọa mạng này không phải là một sự kiện đơn lẻ mà là một dịch vụ được duy trì và phát triển, tiềm ẩn nguy cơ lâu dài cho an toàn thông tin của các tổ chức và cá nhân.