Bỏ qua đến nội dung chính
Về trang chủ
Tech AI 3 phút đọc

Hacker tinh nhuệ của Nga chuyển sang dùng chiêu thức lừa đảo Clickfix

Kỹ thuật tấn công giả mạo Clickfix vốn của tội phạm tài chính nay đã được các nhóm tin tặc chính phủ Nga sử dụng để phát tán mã độc hiệu quả hơn.

Tier 1 · nguồn 60% độ tin cậy Đã được duyệt
Nguồn gốc arstechnica.com

Chiêu thức lừa đảo xã hội (social engineering) khét tiếng mang tên Clickfix hiện đã được các nhóm hacker tinh nhuệ nhất thuộc chính phủ Nga áp dụng để lây nhiễm mã độc vào các thiết bị mục tiêu. Theo báo cáo từ các nhà nghiên cứu bảo mật được Ars Technica trích dẫn, phương thức này vốn trước đây chỉ là công cụ độc quyền của các nhóm tội phạm mạng có động cơ tài chính. Việc các tin tặc được nhà nước bảo trợ chuyển hướng sang công cụ này cho thấy sự thay đổi lớn trong phương thức tiếp cận và tối ưu hóa chi phí tấn công.

Diễn biến chi tiết

Kỹ thuật Clickfix đã nhanh chóng lan rộng trong thế giới ngầm và lọt vào mắt xanh của các tổ chức tình báo mạng Nga. Ban đầu, các chiến dịch Clickfix chủ yếu lừa người dùng tải về các tệp tin cập nhật trình duyệt giả mạo hoặc thông báo lỗi hiển thị trên các trang web bị xâm nhập. Khi người dùng nhấp vào nút khắc phục lỗi, một đoạn mã độc hại sẽ tự động được sao chép vào bộ nhớ đệm (clipboard) và lừa nạn nhân tự tay dán và chạy nó trong cửa sổ PowerShell. Sự chuyển dịch này cho thấy các nhóm tin tặc tinh nhuệ không còn ngần ngại sử dụng các công cụ phổ thông của tội phạm tài chính để đạt được mục đích chính trị.

Phân tích kỹ thuật & Công nghệ

Về mặt kỹ thuật, Clickfix khai thác tối đa tâm lý vội vã của người dùng thông qua các thông báo lỗi trông rất chuyên nghiệp như lỗi chứng chỉ SSL hoặc lỗi kết xuất Word/PDF. Điểm đặc biệt của kỹ thuật này là nó bỏ qua các bộ lọc bảo mật email truyền thống bằng cách không đính kèm tệp độc hại trực tiếp. Thay vào đó, nó tận dụng lệnh PowerShell hợp pháp do chính người dùng tự thực thi qua tổ hợp phím Windows + R và dán mã (Ctrl + V). Phương thức này giúp mã độc dễ dàng vượt qua các cơ chế phát hiện của Windows Defender hoặc các phần mềm diệt virus thông thường.

Ý kiến chuyên gia & Nhận định

Các chuyên gia bảo mật nhận định rằng việc các nhóm APT (Advanced Persistent Threat) của Nga sử dụng Clickfix cho thấy ranh giới giữa tội phạm mạng tài chính và hacker chính phủ đang ngày càng mờ nhạt. Việc tận dụng hạ tầng và kỹ thuật lừa đảo có sẵn giúp các nhóm tin tặc nhà nước tiết kiệm đáng kể thời gian và chi phí phát triển các lỗ hổng zero-day đắt đỏ. Đồng thời, hành vi này cũng giúp họ dễ dàng ẩn mình và đổ lỗi cho các nhóm tội phạm tài chính thông thường khi bị phát hiện.

Tác động & Tương lai

Sự xuất hiện của Clickfix trong các chiến dịch tấn công có chủ đích đặt ra mối đe dọa nghiêm trọng đối với các doanh nghiệp và cơ quan chính phủ trên toàn cầu, bao gồm cả Việt Nam. Độc giả và quản trị viên hệ thống cần đặc biệt cảnh giác trước bất kỳ trang web nào yêu cầu sao chép lệnh vào PowerShell để khắc phục lỗi hiển thị. Trong tương lai, các giải pháp bảo mật sẽ phải tập trung vào việc giám sát hành vi sao chép bộ nhớ đệm và hạn chế quyền thực thi PowerShell của người dùng phổ thông.