-
16/07/2025
-
1
-
22 bài viết
Tin tặc dùng chiêu “ClickFix” mới, dụ mở Terminal để cài mã độc đánh cắp mật khẩu
Microsoft vừa cảnh báo một chiến dịch tấn công mạng mới sử dụng kỹ thuật ClickFix nhằm phát tán mã độc đánh cắp thông tin Lumma Stealer. Điểm đáng chú ý là chiến dịch này khai thác ứng dụng Windows Terminal để kích hoạt chuỗi tấn công phức tạp, qua đó vượt qua nhiều cơ chế phát hiện bảo mật truyền thống.
Chiến dịch được ghi nhận từ tháng 2/2026. Khác với các biến thể ClickFix trước đây yêu cầu người dùng mở hộp thoại Run và dán lệnh độc hại, phiên bản mới hướng dẫn nạn nhân sử dụng tổ hợp phím Windows + X → I để mở trực tiếp Windows Terminal (wt.exe). Đây là môi trường thực thi lệnh có quyền cao, thường được quản trị viên hệ thống sử dụng nên dễ tạo cảm giác hợp lệ và khiến người dùng mất cảnh giác.
Kịch bản tấn công thường bắt đầu từ các trang web giả mạo hiển thị CAPTCHA, thông báo xác minh hoặc hướng dẫn khắc phục lỗi. Người dùng được yêu cầu sao chép một đoạn lệnh và dán vào Windows Terminal. Đoạn lệnh này được mã hóa dạng hex và nén XOR, sau khi thực thi sẽ khởi tạo thêm nhiều phiên Terminal và PowerShell để giải mã và kích hoạt giai đoạn tiếp theo của cuộc tấn công.
Sau khi giải mã, hệ thống sẽ tải xuống một tệp ZIP độc hại cùng với một bản 7-Zip hợp pháp nhưng đã bị đổi tên. Công cụ này được sử dụng để giải nén payload, khởi động chuỗi tấn công nhiều bước bao gồm:
- Tải thêm các thành phần mã độc
- Thiết lập cơ chế duy trì truy cập thông qua Scheduled Tasks
- Thêm ngoại lệ cho Microsoft Defender để tránh bị phát hiện
- Thu thập thông tin hệ thống và mạng
- Tiêm mã độc Lumma Stealer vào tiến trình chrome.exe và msedge.exe bằng kỹ thuật QueueUserAPC()
Mã độc Lumma Stealer chủ yếu nhắm tới các dữ liệu giá trị cao trong trình duyệt như Web Data và Login Data, qua đó đánh cắp thông tin đăng nhập, cookie và các dữ liệu xác thực khác rồi gửi về hạ tầng do tin tặc kiểm soát.
Microsoft cũng phát hiện một biến thể khác của chuỗi tấn công. Trong kịch bản này, lệnh được dán vào Windows Terminal sẽ tải xuống một batch script vào thư mục AppData\Local. Script này tiếp tục tạo Visual Basic Script trong thư mục tạm và thực thi thông qua cmd.exe và MSBuild.exe, cho thấy dấu hiệu lạm dụng LOLBin (Living-off-the-Land Binaries). Ngoài ra, mã độc còn kết nối tới các Crypto Blockchain RPC endpoint, gợi ý khả năng sử dụng kỹ thuật EtherHiding để che giấu hạ tầng điều khiển.
Người dùng không nên sao chép và chạy các lệnh hệ thống từ trang web không rõ nguồn gốc, đồng thời tăng cường giám sát hoạt động bất thường của Windows Terminal và PowerShell trong môi trường doanh nghiệp.
Microsoft cũng phát hiện một biến thể khác của chuỗi tấn công. Trong kịch bản này, lệnh được dán vào Windows Terminal sẽ tải xuống một batch script vào thư mục AppData\Local. Script này tiếp tục tạo Visual Basic Script trong thư mục tạm và thực thi thông qua cmd.exe và MSBuild.exe, cho thấy dấu hiệu lạm dụng LOLBin (Living-off-the-Land Binaries). Ngoài ra, mã độc còn kết nối tới các Crypto Blockchain RPC endpoint, gợi ý khả năng sử dụng kỹ thuật EtherHiding để che giấu hạ tầng điều khiển.
Người dùng không nên sao chép và chạy các lệnh hệ thống từ trang web không rõ nguồn gốc, đồng thời tăng cường giám sát hoạt động bất thường của Windows Terminal và PowerShell trong môi trường doanh nghiệp.
Theo The Hacker News