Tin tặc lợi dụng video TikTok phân phối mã độc thông qua kỹ thuật ClickFix

[WhiteHat Team]

Các chuyên gia an ninh mạng đã đồng loạt đưa ra cảnh báo về sự trỗi dậy của Latrodectus – một biến thể mã độc mới nguy hiểm, được xem là hậu duệ của IcedID, hiện đang tích cực lợi dụng kỹ thuật ClickFix để phát tán mã độc qua trình duyệt và các nền tảng mạng xã hội phổ biến như TikTok.

Latrodectus là một trình tải mã độc (downloader), được ghi nhận lần đầu bởi Proofpoint và Team Cymru vào tháng 4/2024. Mục tiêu của mã độc này là tải về và thực thi các payload nguy hiểm hơn như ransomware hoặc phần mềm đánh cắp thông tin.

Điểm đáng lo ngại nhất là Latrodectus hoạt động hoàn toàn trong bộ nhớ (in-memory execution), khiến các phần mềm diệt virus và trình duyệt rất khó phát hiện hoặc ngăn chặn.

Chiến dịch tấn công mới - ClickFix và PowerShell

Trong các cuộc tấn công được ghi nhận trong tháng 5/2025, người dùng bị lừa sao chép và dán một lệnh PowerShell từ trang web lừa đảo hoặc video TikTok có nội dung giả mạo như:

• Kích hoạt Windows, Microsoft Office, CapCut, Spotify...
• "Tăng trải nghiệm Spotify tức thì"
• "Hướng dẫn unlock tính năng cao cấp"

Khi người dùng thực thi lệnh:

1. Lệnh PowerShell sử dụng công cụ MSIExec để tải về một tệp cài đặt hợp pháp từ NVIDIA.
2. Tệp MSI chứa một ứng dụng thật, nhưng bị sideload với một DLL độc hại.
3. DLL này tiếp tục sử dụng công cụ curl để tải payload chính về và thực thi nó ngay trong bộ nhớ, không ghi ra đĩa.

TikTok trở thành công cụ phát tán mã độc

Chiến dịch tấn công lợi dụng video TikTok được cho là được tạo bằng AI, đã được đăng bởi các tài khoản như:

• @gitallowed
• @zane.houghton
• @allaivo2
• @sysglow.wow
• @alexfixpc
• @digitaldreams771

Các video này hướng dẫn trực quan người dùng nhấn tổ hợp phím Windows + R, mở PowerShell và thực thi lệnh mã độc. Một video đã đạt hơn 500.000 lượt xem, 20.000 lượt thích và hàng trăm bình luận, cho thấy mức độ lan truyền cực cao và khả năng lừa đảo lớn.

Tấn công vào người dùng macOS: Giả mạo Ledger Live để đánh cắp seed phrase

Cùng thời điểm, các chuyên gia cũng phát hiện 4 chiến dịch độc hại nhắm vào người dùng macOS, trong đó sử dụng ứng dụng giả mạo Ledger Live để:

• Yêu cầu người dùng nhập seed phrase nhằm "khôi phục tài khoản".
• Sử dụng AppleScript để đánh cắp dữ liệu từ Apple Notes, mật khẩu và gửi về máy chủ tấn công.
• Triển khai mã độc AMOS và Odyssey, được đóng gói bằng PyInstaller.

️ Khuyến cáo bảo mật người dùng:

Để phòng chống các cuộc tấn công tương tự, người dùng và quản trị viên hệ thống cần thực hiện các biện pháp sau:

Trên hệ thống Windows:

• Vô hiệu hóa tổ hợp phím Windows + R thông qua Registry hoặc GPO.
• Chặn PowerShell không cần thiết với chính sách thực thi script nghiêm ngặt.
• Giám sát lưu lượng mạng bất thường, đặc biệt là các kết nối ra ngoài thông qua curl hoặc MSIExec.
• Tuyệt đối không sao chép và dán lệnh từ các trang web hoặc video không rõ nguồn gốc.

Trên hệ thống macOS:

• Chỉ cài đặt Ledger Live từ website chính thức (https ://www.ledger.com).
• Không nhập seed phrase vào bất kỳ phần mềm hoặc biểu mẫu nào ngoài thiết bị phần cứng Ledger.
• Giám sát các tiến trình sử dụng AppleScript bất thường.

Hãy luôn cảnh giác trước những "mẹo vặt", "thủ thuật", hoặc "hướng dẫn" kích hoạt phần mềm lạ, đặc biệt khi được chia sẻ qua các nền tảng mạng xã hội. Chiến dịch ClickFix và việc sử dụng TikTok/AI để phát tán mã độc là minh chứng rõ ràng cho việc tin tặc ngày càng tinh vi và tận dụng mọi nền tảng phổ biến để lừa đảo người dùng. Không có công cụ bảo mật nào hoàn hảo nếu người dùng không cảnh giác và hiểu rõ kỹ thuật mà kẻ xấu sử dụng.

Theo The Hacker News​