ClickFix - thủ đoạn lừa đảo dự kiến sẽ bùng nổ trong các chiến dịch tấn công mạng trong 2025. Khác với các hình thức tấn công truyền thống qua email lừa đảo hay file đính kèm độc hại, chiêu thức này lợi dụng tâm lý muốn "sửa nhanh lỗi máy" để dụ người dùng tự tay chạy lệnh độc hại.
ClickFix là một chiêu thức tấn công xã hội (social engineering), trong đó kẻ xấu giả danh kỹ thuật viên hoặc các thương hiệu công nghệ lớn như DocuSign, Okta, cung cấp “hướng dẫn sửa lỗi” cho các sự cố phổ biến như lỗi driver, pop-up phiền phức hay lỗi đăng nhập. Hậu quả là tin tặc có thể chiếm quyền kiểm soát máy tính, đánh cắp dữ liệu, thậm chí mở đường cho tấn công ransomware.
Nhưng thay vì sửa lỗi thật, hướng dẫn này yêu cầu người dùng copy-dán một đoạn lệnh (thường là PowerShell) vào khung Run (Win+R) hoặc cửa sổ terminal (Win+X) trên Windows. Đoạn lệnh này được chèn sẵn vào clipboard (bộ nhớ tạm) thông qua mã JavaScript độc hại từ các trang web giả, quảng cáo độc hại, video hướng dẫn giả mạo hoặc diễn đàn hỗ trợ kỹ thuật “rởm” – một kỹ thuật còn được gọi là pastejacking.
Nguy hiểm nằm ở chỗ không có file đính kèm độc hại, không có link lừa đảo và chính người dùng là người chủ động chạy mã độc mà không hề hay biết.
ClickFix là một chiêu thức tấn công xã hội (social engineering), trong đó kẻ xấu giả danh kỹ thuật viên hoặc các thương hiệu công nghệ lớn như DocuSign, Okta, cung cấp “hướng dẫn sửa lỗi” cho các sự cố phổ biến như lỗi driver, pop-up phiền phức hay lỗi đăng nhập. Hậu quả là tin tặc có thể chiếm quyền kiểm soát máy tính, đánh cắp dữ liệu, thậm chí mở đường cho tấn công ransomware.
Nhưng thay vì sửa lỗi thật, hướng dẫn này yêu cầu người dùng copy-dán một đoạn lệnh (thường là PowerShell) vào khung Run (Win+R) hoặc cửa sổ terminal (Win+X) trên Windows. Đoạn lệnh này được chèn sẵn vào clipboard (bộ nhớ tạm) thông qua mã JavaScript độc hại từ các trang web giả, quảng cáo độc hại, video hướng dẫn giả mạo hoặc diễn đàn hỗ trợ kỹ thuật “rởm” – một kỹ thuật còn được gọi là pastejacking.
Nguy hiểm nằm ở chỗ không có file đính kèm độc hại, không có link lừa đảo và chính người dùng là người chủ động chạy mã độc mà không hề hay biết.
Trong năm 2025, các nhóm tấn công đã kết hợp ClickFix vào nhiều chiến dịch phát tán phần mềm gián điệp và mã độc chiếm quyền điều khiển từ xa, bao gồm:
- NetSupport RAT: Lợi dụng giao diện DocuSign và Okta giả mạo, dụ người dùng dán lệnh PowerShell. Kịch bản này từng tấn công vào các ngành y tế, pháp lý, viễn thông và khai khoáng vào tháng 5/2025.
- Latrodectus Malware: Phát tán qua các website bị cài mã ClearFake, lợi dụng DLL side-loading để cài mã độc.
- Lumma Stealer: Nhắm vào lĩnh vực IT, ô tô, năng lượng… với các lệnh MSHTA độc hại và tên miền giả mạo dịch vụ ghi log IP.
Tác động của ClickFix rất nguy hiểm và khó phát hiện:
- Người dùng bị chiếm quyền điều khiển máy tính (qua Remote Access Trojan).
- Dữ liệu và tài khoản bị đánh cắp, bao gồm email, mật khẩu, tài liệu nội bộ.
- Mở đường cho ransomware hoặc mã độc khác lây lan.
- Các ngành bị ảnh hưởng trải rộng: công nghệ cao, ngân hàng, sản xuất, bán lẻ, chính phủ, tiện ích công cộng…
Chiêu thức này cũng gây khó khăn lớn cho các hệ thống bảo mật truyền thống bởi vì:
- Không có file lạ tải xuống ban đầu.
- Không có link email lừa đảo.
- Hành động chạy mã là do chính người dùng thực hiện.
Tuy nhiên, các dấu vết forensics vẫn có thể phát hiện, như các lệnh bất thường trong Windows RunMRU hoặc phiên PowerShell được khởi chạy sau clipboard paste.
Người dùng phổ thông chính là mục tiêu của ClickFix, do đó nâng cao nhận thức là ưu tiên hàng đầu. Những dấu hiệu cần cảnh giác:
Người dùng phổ thông chính là mục tiêu của ClickFix, do đó nâng cao nhận thức là ưu tiên hàng đầu. Những dấu hiệu cần cảnh giác:
- Trang web yêu cầu “dán lệnh để sửa lỗi”.
- Hướng dẫn kỹ thuật lạ trên video/diễn đàn không chính thống.
- Cảnh báo từ Windows yêu cầu quyền quản trị sau khi dán lệnh.
Để giảm thiểu nguy cơ bị tấn công qua kỹ thuật ClickFix, WhiteHat khuyến cáo các tổ chức và người dùng nên thực hiện các biện pháp sau:
- Luôn cập nhật phần mềm và hệ điều hành
Cài đặt đầy đủ các bản vá bảo mật để bịt kín các lỗ hổng đã biết mà hacker có thể lợi dụng. - Dùng phần mềm bảo mật đáng tin cậy
Triển khai phần mềm diệt virus, tường lửa và các công cụ bảo vệ đầu cuối để phát hiện và ngăn chặn mã độc. - Tuyệt đối cảnh giác với lệnh “dán và chạy” từ nguồn lạ
Không làm theo bất kỳ hướng dẫn nào yêu cầu copy-paste lệnh vào Run (Win+R) hoặc PowerShell/Terminal (Win+X) dù nhìn có vẻ hợp lý hay các lệnh đó đến từ thương hiệu quen thuộc. - Đào tạo nhận thức an ninh cho nhân viên
Tổ chức các khóa huấn luyện định kỳ giúp người dùng nhận diện chiêu trò ClickFix và các hình thức lừa đảo tinh vi khác. - Giám sát hành vi hệ thống bất thường
- Theo dõi clipboard để phát hiện các đoạn lệnh độc bị dán lén.
- Ghi nhận và phân tích các phiên PowerShell bất thường.
- Kiểm tra mục RunMRU trong registry Windows – nơi lưu lại các lệnh đã chạy qua cửa sổ Run.
- Sử dụng các công cụ bảo mật nâng cao
- Palo Alto Networks: Advanced WildFire, URL Filtering, DNS Security.
- Cortex XDR: Giám sát hành vi và phản ứng tự động với các hoạt động khả nghi.
ClickFix là ví dụ điển hình cho thấy kẻ tấn công không cần công cụ kỹ thuật cao, chỉ cần tâm lý người dùng nhẹ dạ và thiếu cảnh giác. Trong bối cảnh kỹ thuật tấn công ngày càng tinh vi và “thân thiện”, các tổ chức và người dùng cá nhân không thể chỉ trông chờ vào phần mềm diệt virus. Giải pháp nằm ở sự cảnh giác, giáo dục an ninh mạng cơ bản và một hệ thống giám sát thông minh.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
