Một biến thể mới của ClickFix đang âm thầm lan rộng và nhắm vào đúng điểm yếu nhất của người dùng: sự tin tưởng vào màn hình cập nhật Windows quen thuộc. Chỉ cần một khoảnh khắc lơ đễnh, bạn có thể vô tình trao cho kẻ xấu quyền truy cập trọn vẹn vào mật khẩu, tài khoản ngân hàng và mọi dữ liệu riêng tư trong trình duyệt.
Nhóm nghiên cứu bảo mật của Huntress vừa cảnh báo về một chiến dịch tấn công khá tinh vi nhưng lại dựa trên thủ thuật tâm lý rất đời thường. Kẻ tấn công đã tạo ra một màn hình cập nhật Windows giả gần như chiếm toàn bộ trình duyệt. Mọi thứ được làm giống đến mức chỉ cần nhìn qua là nhiều người tin ngay.
Màn hình cập nhật Windows giả mạo gần như hoàn hảo, dễ khiến người dùng sơ ý tin tưởng và thực hiện các lệnh nguy hiểm (Ảnh: Internet)
Cách lừa không hề phức tạp. Nó thường xuất hiện trên những trang web kém uy tín, đặc biệt là các trang người lớn vốn có nhiều quảng cáo và cửa sổ bật lên. Chỉ cần bấm nhầm vào một quảng cáo hay một cửa sổ kiểm tra độ tuổi trông có vẻ vô hại, cả trình duyệt sẽ chuyển sang màn hình cập nhật Windows đứng yên ở mức 95 phần trăm.
Rồi trang web yêu cầu bạn nhấn phím Windows và R, sau đó dán một đoạn lệnh để hoàn tất cập nhật. Nghe thì hợp lý, nhưng đó chính là cú đánh mà ClickFix muốn người dùng tự thực hiện. Khi bạn làm theo, máy lập tức chạy công cụ mshta có sẵn trong Windows và tải về mã độc từ máy chủ của kẻ tấn công.
Chỉ một màn hình cập nhật giả và lời nhắc bấm Windows + R, kẻ tấn công đã khiến người dùng tự tay kích hoạt mã độc mà không hề hay biết (Ảnh: Internet)
Để tránh bị phát hiện, mã độc còn được nhồi rất nhiều đoạn lệnh rác chỉ nhằm đánh lạc hướng các hệ thống bảo mật. Một phần mã lạ hơn nữa được giấu ngay trong một tệp ảnh PNG. Khi chạy, nó rút đoạn mã độc từ chính những điểm ảnh và len lỏi vào các tiến trình khác trong hệ thống bằng môi trường .NET.
Sau khi xâm nhập xong, ClickFix sẽ mở đường cho các mã độc chuyên đánh cắp dữ liệu như Rhadamanthys hay LummaC2. Từ đây, mọi thứ trong trình duyệt của bạn đều có thể bị hút về máy chủ của kẻ xấu. Từ mật khẩu, cookie, tài khoản ngân hàng cho đến ví tiền số, không thứ gì được xem là an toàn.
Tổng quan về cuộc tấn công (Ảnh: Internet)
Các nhà nghiên cứu cho biết chiến dịch này đã hoạt động ít nhất từ đầu tháng mười và vẫn đang tiếp diễn. Nhiều tên miền giả được dùng để đặt màn hình cập nhật Windows, khiến việc nhận diện càng khó khăn. Họ còn phát hiện nhiều chuỗi ký tự vô nghĩa trong mã độc, thậm chí có đoạn trích liên quan đến một bài phát biểu cũ của Liên Hợp Quốc, gần như chỉ để tốn thời gian của những người điều tra.
Điều đáng sợ nhất là kẻ xấu không cần tải tệp vào máy bạn ngay từ đầu. Tất cả dựa vào thủ thuật đánh lừa người dùng tự tay chạy lệnh cho chúng.
ClickFix đang lợi dụng thói quen tin vào màn hình cập nhật Windows. Chỉ cần bạn làm theo hướng dẫn giả mạo, mã độc sẽ tự mở cửa vào máy và hút sạch mọi dữ liệu riêng tư trong trình duyệt. Đây là dạng lừa rất khó nhận ra vì nó đánh vào phản xạ quen thuộc, không phải vào lỗ hổng kỹ thuật.
ClickFix “hóa trang” thành cập nhật Windows: Chiêu lừa đơn giản nhưng đủ khiến bất kỳ ai sơ ý cũng mất sạch mật khẩu
Nhóm nghiên cứu bảo mật của Huntress vừa cảnh báo về một chiến dịch tấn công khá tinh vi nhưng lại dựa trên thủ thuật tâm lý rất đời thường. Kẻ tấn công đã tạo ra một màn hình cập nhật Windows giả gần như chiếm toàn bộ trình duyệt. Mọi thứ được làm giống đến mức chỉ cần nhìn qua là nhiều người tin ngay.
Màn hình cập nhật Windows giả mạo gần như hoàn hảo, dễ khiến người dùng sơ ý tin tưởng và thực hiện các lệnh nguy hiểm (Ảnh: Internet)
Cách lừa không hề phức tạp. Nó thường xuất hiện trên những trang web kém uy tín, đặc biệt là các trang người lớn vốn có nhiều quảng cáo và cửa sổ bật lên. Chỉ cần bấm nhầm vào một quảng cáo hay một cửa sổ kiểm tra độ tuổi trông có vẻ vô hại, cả trình duyệt sẽ chuyển sang màn hình cập nhật Windows đứng yên ở mức 95 phần trăm.
Rồi trang web yêu cầu bạn nhấn phím Windows và R, sau đó dán một đoạn lệnh để hoàn tất cập nhật. Nghe thì hợp lý, nhưng đó chính là cú đánh mà ClickFix muốn người dùng tự thực hiện. Khi bạn làm theo, máy lập tức chạy công cụ mshta có sẵn trong Windows và tải về mã độc từ máy chủ của kẻ tấn công.
Chỉ một màn hình cập nhật giả và lời nhắc bấm Windows + R, kẻ tấn công đã khiến người dùng tự tay kích hoạt mã độc mà không hề hay biết (Ảnh: Internet)
Để tránh bị phát hiện, mã độc còn được nhồi rất nhiều đoạn lệnh rác chỉ nhằm đánh lạc hướng các hệ thống bảo mật. Một phần mã lạ hơn nữa được giấu ngay trong một tệp ảnh PNG. Khi chạy, nó rút đoạn mã độc từ chính những điểm ảnh và len lỏi vào các tiến trình khác trong hệ thống bằng môi trường .NET.
Sau khi xâm nhập xong, ClickFix sẽ mở đường cho các mã độc chuyên đánh cắp dữ liệu như Rhadamanthys hay LummaC2. Từ đây, mọi thứ trong trình duyệt của bạn đều có thể bị hút về máy chủ của kẻ xấu. Từ mật khẩu, cookie, tài khoản ngân hàng cho đến ví tiền số, không thứ gì được xem là an toàn.
Tổng quan về cuộc tấn công (Ảnh: Internet)
Các nhà nghiên cứu cho biết chiến dịch này đã hoạt động ít nhất từ đầu tháng mười và vẫn đang tiếp diễn. Nhiều tên miền giả được dùng để đặt màn hình cập nhật Windows, khiến việc nhận diện càng khó khăn. Họ còn phát hiện nhiều chuỗi ký tự vô nghĩa trong mã độc, thậm chí có đoạn trích liên quan đến một bài phát biểu cũ của Liên Hợp Quốc, gần như chỉ để tốn thời gian của những người điều tra.
Điều đáng sợ nhất là kẻ xấu không cần tải tệp vào máy bạn ngay từ đầu. Tất cả dựa vào thủ thuật đánh lừa người dùng tự tay chạy lệnh cho chúng.
Tóm lại cho bạn dễ hình dung
ClickFix đang lợi dụng thói quen tin vào màn hình cập nhật Windows. Chỉ cần bạn làm theo hướng dẫn giả mạo, mã độc sẽ tự mở cửa vào máy và hút sạch mọi dữ liệu riêng tư trong trình duyệt. Đây là dạng lừa rất khó nhận ra vì nó đánh vào phản xạ quen thuộc, không phải vào lỗ hổng kỹ thuật.
