Sasha
Writer
Từ tháng 12/2024, Microsoft đã phát hiện một chiến dịch tấn công giả mạo (phishing) trang web du lịch trực tuyến Booking.com, sử dụng kỹ thuật tấn công “phi truyền thống” mang tên ClickFix, từ đó cài đặt phần mềm độc hại nhằm đánh cắp thông tin đăng nhập trên hệ thống bị xâm nhập.
Vào đầu tháng 12/2024, khi nhu cầu du lịch toàn cầu tăng cao, đội ngũ Microsoft Threat Intelligence đã ghi nhận một chiến dịch lừa đảo mạo danh trang đặt phòng trực tuyến Booking.com, nhắm vào các tổ chức trong ngành khách sạn. Chiến dịch này sử dụng kỹ thuật ClickFix – một phương pháp tấn công “phi truyền thống” dựa trên thao tác lừa đảo tâm lý – để phát tán nhiều loại phần mềm độc hại đánh cắp thông tin đăng nhập, phục vụ mục đích gian lận tài chính và đánh cắp dữ liệu thanh toán. Tính đến tháng 2/2025, chiến dịch này vẫn đang tiếp diễn.
Chiến dịch lừa đảo này chủ yếu nhắm đến các cá nhân làm việc tại các tổ chức trong lĩnh vực khách sạn ở Bắc Mỹ, Châu Đại Dương, Nam Á, Đông Nam Á, và các khu vực Bắc, Nam, Đông, Tây Âu – những người thường xuyên tương tác, làm việc với trang Booking.com. Các tin nhắn giả mạo được gửi tới mục tiêu có nội dung giống như thông báo từ công ty Booking.com.
Kỹ thuật ClickFix khai thác tâm lý giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo. Những thông báo này hướng dẫn người dùng sao chép, dán và thực thi các lệnh, dẫn đến việc tải xuống phần mềm độc hại. Việc yêu cầu người dùng chủ động thao tác giúp kẻ tấn công dễ dàng vượt qua các biện pháp bảo mật tự động và truyền thống.
Microsoft theo dõi chiến dịch này dưới mã định danh Storm-1865, một nhóm hoạt động chuyên thực hiện các chiến dịch lừa đảo nhằm đánh cắp dữ liệu thanh toán và thực hiện các giao dịch gian lận. Để giảm thiểu rủi ro từ các cuộc tấn công lừa đảo, các tổ chức nên tăng cường đào tạo nhân viên nhận diện các mối đe dọa và thực hiện các biện pháp bảo vệ chủ động.
Phương thức tấn công lừa đảo sử dụng kỹ thuật ClickFix
Trong chiến dịch này, nhóm Storm-1865 xác định các tổ chức mục tiêu trong ngành khách sạn và tiếp cận các cá nhân có khả năng làm việc trực tiếp với Booking.com. Sau đó, nhóm này gửi các email giả mạo với nội dung được thiết kế tinh vi để đánh lừa người nhận. Nội dung email rất đa dạng, bao gồm: khiếu nại/đánh giá tiêu cực từ khách hàng, tin nhắn từ các khách hàng tiềm năng, cơ hội quảng bá cho khách sạn, yêu cầu xác minh tài khoản… và nhiều nội dung tinh vi khác nữa.
Mẫu email lừa đảo, giả mạo là yêu cầu từ khách hàng tiềm năng.
Mẫu email lừa đảo khác, giả mạo yêu cầu người nhận xử lý phản hồi tiêu cực về khách sạn.
Mẫu email lừa đảo khác, giả mạo yêu cầu người nhận email xác minh tài khoản Booking.com
Email lừa đảo này thường chứa một link hoặc tệp đính kèm dạng PDF có chứa link, giả mạo dẫn người nhận đến trang web chính thức của Booking.com. Khi nhấp vào liên kết, nạn nhân sẽ được chuyển hướng đến một trang web hiển thị lớp CAPTCHA giả chồng lên nền trang được thiết kế tinh vi, bắt chước giao diện của Booking.com. Trang web này ngụy tạo các bước thực hiện xác minh của Booking, khiến người dùng mất cảnh giác và dễ bị lừa hơn.
Mã CAPTCHA giả chính là nơi trang web áp dụng kỹ thuật lừa đảo ClickFix để tải xuống phần mềm độc hại. Kỹ thuật này hướng dẫn người dùng sử dụng tổ hợp phím tắt để mở cửa sổ Windows Run, sau đó dán và thực thi một lệnh mà trang web đã tự động sao chép vào bộ nhớ tạm.
Ảnh chụp màn hình trang web giả mạo Booking.com với mã CAPTCHA giả
Lệnh này tải xuống và thực thi mã độc thông qua mshta.exe:
Ví dụ về lệnh mshta.exe mà nạn nhân sẽ chạy
Chiến dịch này đã phát tán nhiều loại phần mềm độc hại phổ biến bao gồm XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot, và NetSupport RAT. Tùy thuộc vào từng payload (dữ liệu độc hại) cụ thể, mã được thực thi thông qua mshta.exe sẽ khác nhau. Một số mẫu đã tải xuống nội dung PowerShell, JavaScript và portable executable (PE).
Tất cả các payload này đều có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập để sử dụng cho mục đích lừa đảo – dấu hiệu đặc trưng trong hoạt động của Storm-1865. Năm 2023, Storm-1865 từng nhắm vào khách lưu trú tại khách sạn thông qua Booking.com bằng các kỹ thuật lừa đảo và phần mềm độc hại tương tự. Đến năm 2024, nhóm này tiếp tục tấn công người mua sắm trên các nền tảng thương mại điện tử bằng các tin nhắn giả mạo dẫn đến trang thanh toán lừa đảo.
Cùng với việc bổ sung kỹ thuật ClickFix vào các chiến thuật, kỹ thuật và quy trình (TTPs) cho thấy Storm-1865 đang không ngừng phát triển chuỗi tấn công nhằm vượt qua các biện pháp bảo mật truyền thống chống lừa đảo và phần mềm độc hại.
Sơ đồ minh họa các bước tấn công trong chiến dịch lừa đảo này
Nguyên nhân
Microsoft xác định nhóm tin tặc Storm-1865 đứng sau các chiến dịch lừa đảo (phishing) nhằm đánh cắp dữ liệu thanh toán và thực hiện giao dịch gian lận. Từ đầu năm 2023, các hoạt động của nhóm này ngày càng gia tăng, chủ yếu thông qua các nền tảng trung gian như đại lý du lịch trực tuyến, sàn thương mại điện tử, và các dịch vụ email phổ biến (Gmail, iCloud Mail).
Khuyến nghị của Microsoft
Người dùng có thể áp dụng các biện pháp sau để nhận diện và phòng tránh tấn công giả mạo. Bên cạnh đó, các doanh nghiệp, tổ chức cần chủ động tập huấn, hướng dẫn cho nhân viên để nâng cao kỹ năng nhận diện lừa đảo, từ đó giảm thiểu tác động của các cuộc tấn công giả mạo.
Kiểm tra địa chỉ email người gửi để đảm bảo tính hợp lệ.
• Xác nhận email của người gửi: kiểm tra xem người gửi có bị đánh dấu là [External] (bên ngoài), gửi email không thường xuyên, hay lần đầu gửi email cho bạn không.
• Di chuột qua địa chỉ để kiểm tra toàn bộ địa chỉ email có hợp lệ hay không.
• Lưu ý: Các tổ chức uy tín sẽ không bao giờ yêu cầu thông tin cá nhân hoặc tài chính qua email hoặc điện thoại một cách đột ngột. Luôn truy cập trực tiếp vào trang web chính thức của tổ chức đó để đăng nhập vào tài khoản của bạn.
Liên hệ trực tiếp với nhà cung cấp dịch vụ. Nếu nhận được email đáng ngờ, hãy liên hệ trực tiếp với nhà cung cấp thông qua kênh hỗ trợ chính thức được đăng trên trang web của họ.
Cẩn trọng với những lời kêu gọi hành động khẩn cấp hoặc có nội dung mang tính đe dọa: Hãy cẩn thận với các email yêu cầu bạn nhấp vào liên kết, mở tệp đính kèm, hoặc gọi điện ngay lập tức. Tin tặc thường tạo cảm giác cấp bách để nạn nhân hành động mà không kịp kiểm tra tính xác thực.
Kiểm tra kỹ liên kết trước khi nhấp. Đôi khi, các link độc hại được nhúng vào email để đánh lừa người nhận. Bạn chỉ cần nhấp vào link và tin tặc đã có thể tải xuống phần mềm độc hại lên thiết bị của bạn. Trước khi nhấn vào link, hãy kiểm tra toàn bộ URL để đảm bảo địa chỉ hợp lệ. Tốt nhất, hãy truy cập trang web chính thức bằng cách tự tìm kiếm trên trình duyệt, thay vì nhấp vào liên kết trong email.
Kiểm tra lỗi chính tả. Các email lừa đảo thường có lỗi chính tả, bao gồm cả trong nội dung email và trong tên miền hoặc URL như đã đề cập ở trên. Các công ty uy tín hiếm khi gửi tin nhắn mà không kiểm tra kỹ nội dung, vì vậy những lỗi chính tả hoặc ngữ pháp lặp lại nhiều lần có thể là dấu hiệu lừa đảo.
Ngoài ra, hãy chú ý đến những lỗi đánh máy tinh vi trong các tên miền hợp pháp – khái niệm này trong tiếng Anh được gọi là là typosquatting. Ví dụ, bạn có thể thấy micros0ft[.]com, trong đó chữ "o" đã được thay thế bằng số "0", hoặc rnicrosoft[.]com, trong đó chữ "m" đã được thay thế bằng "r" và "n".
Microsoft khuyến nghị người dùng và các tổ chức áp dụng các biện pháp sau để giảm thiểu rủi ro từ lừa đảo:
• Triển khai và áp dụng các phương thức xác thực chống lừa đảo cho người dùng để tăng cường bảo mật.
• Bắt buộc sử dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản, loại bỏ những người dùng được miễn MFA và yêu cầu MFA với mọi thiết bị, ở mọi nơi, vào mọi thời điểm.
• Thiết lập cấu hình Microsoft Defender for Office 365 để kiểm tra lại các link nhấp vào. Tính năng Safe Links sẽ quét và viết lại URL trong email đến, đồng thời kiểm tra tính an toàn của liên kết theo thời gian thực trong các ứng dụng Microsoft 365 như Teams, SharePoint Online, và các nền tảng khác. Tính năng này hoạt động song song với các lớp bảo vệ chống spam và phần mềm độc hại trong Microsoft Exchange Online Protection (EOP), giúp tổ chức của bạn nhận diện và ngăn chặn các liên kết độc hại sử dụng trong các cuộc tấn công lừa đảo.
• Khuyến khích người dùng sử dụng Microsoft Edge hoặc các trình duyệt hỗ trợ Microsoft Defender SmartScreen để phát hiện và chặn các trang web độc hại, bao gồm các trang lừa đảo, gian lận và trang chứa phần mềm độc hại.
• Bật tính năng bảo vệ dựa trên đám mây trong Microsoft Defender Antivirus (hoặc các giải pháp tương đương) để đối phó với các kỹ thuật tấn công mới. Công nghệ bảo vệ dựa trên học máy từ nền tảng đám mây giúp phát hiện và ngăn chặn hầu hết các biến thể tấn công chưa được nhận diện.
• Kích hoạt bảo vệ mạng để chặn các ứng dụng hoặc người dùng truy cập các miền và nội dung độc hại trên internet.
• Bật chế độ Tự động Điều tra và Khắc phục (full automated mode) trong Microsoft Defender for Endpoint để xử lý ngay các cảnh báo và tự động xử lý các mối đe dọa, giúp giảm thiểu số lượng cảnh báo thủ công và tăng tốc độ xử lý sự cố.
• Bật tính năng Zero-hour auto purge (ZAP) trong Office 365 để tự động cách ly các email độc hại dựa trên thông tin tình báo mới nhất, kể cả những email đã đến hộp thư của người dùng.

Vào đầu tháng 12/2024, khi nhu cầu du lịch toàn cầu tăng cao, đội ngũ Microsoft Threat Intelligence đã ghi nhận một chiến dịch lừa đảo mạo danh trang đặt phòng trực tuyến Booking.com, nhắm vào các tổ chức trong ngành khách sạn. Chiến dịch này sử dụng kỹ thuật ClickFix – một phương pháp tấn công “phi truyền thống” dựa trên thao tác lừa đảo tâm lý – để phát tán nhiều loại phần mềm độc hại đánh cắp thông tin đăng nhập, phục vụ mục đích gian lận tài chính và đánh cắp dữ liệu thanh toán. Tính đến tháng 2/2025, chiến dịch này vẫn đang tiếp diễn.
Chiến dịch lừa đảo này chủ yếu nhắm đến các cá nhân làm việc tại các tổ chức trong lĩnh vực khách sạn ở Bắc Mỹ, Châu Đại Dương, Nam Á, Đông Nam Á, và các khu vực Bắc, Nam, Đông, Tây Âu – những người thường xuyên tương tác, làm việc với trang Booking.com. Các tin nhắn giả mạo được gửi tới mục tiêu có nội dung giống như thông báo từ công ty Booking.com.
Kỹ thuật ClickFix khai thác tâm lý giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo. Những thông báo này hướng dẫn người dùng sao chép, dán và thực thi các lệnh, dẫn đến việc tải xuống phần mềm độc hại. Việc yêu cầu người dùng chủ động thao tác giúp kẻ tấn công dễ dàng vượt qua các biện pháp bảo mật tự động và truyền thống.
Microsoft theo dõi chiến dịch này dưới mã định danh Storm-1865, một nhóm hoạt động chuyên thực hiện các chiến dịch lừa đảo nhằm đánh cắp dữ liệu thanh toán và thực hiện các giao dịch gian lận. Để giảm thiểu rủi ro từ các cuộc tấn công lừa đảo, các tổ chức nên tăng cường đào tạo nhân viên nhận diện các mối đe dọa và thực hiện các biện pháp bảo vệ chủ động.
Phương thức tấn công lừa đảo sử dụng kỹ thuật ClickFix
Trong chiến dịch này, nhóm Storm-1865 xác định các tổ chức mục tiêu trong ngành khách sạn và tiếp cận các cá nhân có khả năng làm việc trực tiếp với Booking.com. Sau đó, nhóm này gửi các email giả mạo với nội dung được thiết kế tinh vi để đánh lừa người nhận. Nội dung email rất đa dạng, bao gồm: khiếu nại/đánh giá tiêu cực từ khách hàng, tin nhắn từ các khách hàng tiềm năng, cơ hội quảng bá cho khách sạn, yêu cầu xác minh tài khoản… và nhiều nội dung tinh vi khác nữa.

Mẫu email lừa đảo, giả mạo là yêu cầu từ khách hàng tiềm năng.

Mẫu email lừa đảo khác, giả mạo yêu cầu người nhận xử lý phản hồi tiêu cực về khách sạn.

Mẫu email lừa đảo khác, giả mạo yêu cầu người nhận email xác minh tài khoản Booking.com
Email lừa đảo này thường chứa một link hoặc tệp đính kèm dạng PDF có chứa link, giả mạo dẫn người nhận đến trang web chính thức của Booking.com. Khi nhấp vào liên kết, nạn nhân sẽ được chuyển hướng đến một trang web hiển thị lớp CAPTCHA giả chồng lên nền trang được thiết kế tinh vi, bắt chước giao diện của Booking.com. Trang web này ngụy tạo các bước thực hiện xác minh của Booking, khiến người dùng mất cảnh giác và dễ bị lừa hơn.
Mã CAPTCHA giả chính là nơi trang web áp dụng kỹ thuật lừa đảo ClickFix để tải xuống phần mềm độc hại. Kỹ thuật này hướng dẫn người dùng sử dụng tổ hợp phím tắt để mở cửa sổ Windows Run, sau đó dán và thực thi một lệnh mà trang web đã tự động sao chép vào bộ nhớ tạm.

Ảnh chụp màn hình trang web giả mạo Booking.com với mã CAPTCHA giả
Lệnh này tải xuống và thực thi mã độc thông qua mshta.exe:

Ví dụ về lệnh mshta.exe mà nạn nhân sẽ chạy
Chiến dịch này đã phát tán nhiều loại phần mềm độc hại phổ biến bao gồm XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot, và NetSupport RAT. Tùy thuộc vào từng payload (dữ liệu độc hại) cụ thể, mã được thực thi thông qua mshta.exe sẽ khác nhau. Một số mẫu đã tải xuống nội dung PowerShell, JavaScript và portable executable (PE).
Tất cả các payload này đều có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập để sử dụng cho mục đích lừa đảo – dấu hiệu đặc trưng trong hoạt động của Storm-1865. Năm 2023, Storm-1865 từng nhắm vào khách lưu trú tại khách sạn thông qua Booking.com bằng các kỹ thuật lừa đảo và phần mềm độc hại tương tự. Đến năm 2024, nhóm này tiếp tục tấn công người mua sắm trên các nền tảng thương mại điện tử bằng các tin nhắn giả mạo dẫn đến trang thanh toán lừa đảo.
Cùng với việc bổ sung kỹ thuật ClickFix vào các chiến thuật, kỹ thuật và quy trình (TTPs) cho thấy Storm-1865 đang không ngừng phát triển chuỗi tấn công nhằm vượt qua các biện pháp bảo mật truyền thống chống lừa đảo và phần mềm độc hại.

Sơ đồ minh họa các bước tấn công trong chiến dịch lừa đảo này
Nguyên nhân
Microsoft xác định nhóm tin tặc Storm-1865 đứng sau các chiến dịch lừa đảo (phishing) nhằm đánh cắp dữ liệu thanh toán và thực hiện giao dịch gian lận. Từ đầu năm 2023, các hoạt động của nhóm này ngày càng gia tăng, chủ yếu thông qua các nền tảng trung gian như đại lý du lịch trực tuyến, sàn thương mại điện tử, và các dịch vụ email phổ biến (Gmail, iCloud Mail).
Khuyến nghị của Microsoft
Người dùng có thể áp dụng các biện pháp sau để nhận diện và phòng tránh tấn công giả mạo. Bên cạnh đó, các doanh nghiệp, tổ chức cần chủ động tập huấn, hướng dẫn cho nhân viên để nâng cao kỹ năng nhận diện lừa đảo, từ đó giảm thiểu tác động của các cuộc tấn công giả mạo.
Kiểm tra địa chỉ email người gửi để đảm bảo tính hợp lệ.
• Xác nhận email của người gửi: kiểm tra xem người gửi có bị đánh dấu là [External] (bên ngoài), gửi email không thường xuyên, hay lần đầu gửi email cho bạn không.
• Di chuột qua địa chỉ để kiểm tra toàn bộ địa chỉ email có hợp lệ hay không.
• Lưu ý: Các tổ chức uy tín sẽ không bao giờ yêu cầu thông tin cá nhân hoặc tài chính qua email hoặc điện thoại một cách đột ngột. Luôn truy cập trực tiếp vào trang web chính thức của tổ chức đó để đăng nhập vào tài khoản của bạn.
Liên hệ trực tiếp với nhà cung cấp dịch vụ. Nếu nhận được email đáng ngờ, hãy liên hệ trực tiếp với nhà cung cấp thông qua kênh hỗ trợ chính thức được đăng trên trang web của họ.
Cẩn trọng với những lời kêu gọi hành động khẩn cấp hoặc có nội dung mang tính đe dọa: Hãy cẩn thận với các email yêu cầu bạn nhấp vào liên kết, mở tệp đính kèm, hoặc gọi điện ngay lập tức. Tin tặc thường tạo cảm giác cấp bách để nạn nhân hành động mà không kịp kiểm tra tính xác thực.
Kiểm tra kỹ liên kết trước khi nhấp. Đôi khi, các link độc hại được nhúng vào email để đánh lừa người nhận. Bạn chỉ cần nhấp vào link và tin tặc đã có thể tải xuống phần mềm độc hại lên thiết bị của bạn. Trước khi nhấn vào link, hãy kiểm tra toàn bộ URL để đảm bảo địa chỉ hợp lệ. Tốt nhất, hãy truy cập trang web chính thức bằng cách tự tìm kiếm trên trình duyệt, thay vì nhấp vào liên kết trong email.
Kiểm tra lỗi chính tả. Các email lừa đảo thường có lỗi chính tả, bao gồm cả trong nội dung email và trong tên miền hoặc URL như đã đề cập ở trên. Các công ty uy tín hiếm khi gửi tin nhắn mà không kiểm tra kỹ nội dung, vì vậy những lỗi chính tả hoặc ngữ pháp lặp lại nhiều lần có thể là dấu hiệu lừa đảo.
Ngoài ra, hãy chú ý đến những lỗi đánh máy tinh vi trong các tên miền hợp pháp – khái niệm này trong tiếng Anh được gọi là là typosquatting. Ví dụ, bạn có thể thấy micros0ft[.]com, trong đó chữ "o" đã được thay thế bằng số "0", hoặc rnicrosoft[.]com, trong đó chữ "m" đã được thay thế bằng "r" và "n".
Microsoft khuyến nghị người dùng và các tổ chức áp dụng các biện pháp sau để giảm thiểu rủi ro từ lừa đảo:
• Triển khai và áp dụng các phương thức xác thực chống lừa đảo cho người dùng để tăng cường bảo mật.
• Bắt buộc sử dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản, loại bỏ những người dùng được miễn MFA và yêu cầu MFA với mọi thiết bị, ở mọi nơi, vào mọi thời điểm.
• Thiết lập cấu hình Microsoft Defender for Office 365 để kiểm tra lại các link nhấp vào. Tính năng Safe Links sẽ quét và viết lại URL trong email đến, đồng thời kiểm tra tính an toàn của liên kết theo thời gian thực trong các ứng dụng Microsoft 365 như Teams, SharePoint Online, và các nền tảng khác. Tính năng này hoạt động song song với các lớp bảo vệ chống spam và phần mềm độc hại trong Microsoft Exchange Online Protection (EOP), giúp tổ chức của bạn nhận diện và ngăn chặn các liên kết độc hại sử dụng trong các cuộc tấn công lừa đảo.
• Khuyến khích người dùng sử dụng Microsoft Edge hoặc các trình duyệt hỗ trợ Microsoft Defender SmartScreen để phát hiện và chặn các trang web độc hại, bao gồm các trang lừa đảo, gian lận và trang chứa phần mềm độc hại.
• Bật tính năng bảo vệ dựa trên đám mây trong Microsoft Defender Antivirus (hoặc các giải pháp tương đương) để đối phó với các kỹ thuật tấn công mới. Công nghệ bảo vệ dựa trên học máy từ nền tảng đám mây giúp phát hiện và ngăn chặn hầu hết các biến thể tấn công chưa được nhận diện.
• Kích hoạt bảo vệ mạng để chặn các ứng dụng hoặc người dùng truy cập các miền và nội dung độc hại trên internet.
• Bật chế độ Tự động Điều tra và Khắc phục (full automated mode) trong Microsoft Defender for Endpoint để xử lý ngay các cảnh báo và tự động xử lý các mối đe dọa, giúp giảm thiểu số lượng cảnh báo thủ công và tăng tốc độ xử lý sự cố.
• Bật tính năng Zero-hour auto purge (ZAP) trong Office 365 để tự động cách ly các email độc hại dựa trên thông tin tình báo mới nhất, kể cả những email đã đến hộp thư của người dùng.