ClickFix “hóa trang” thành cập nhật Windows: Chiêu lừa đơn giản nhưng đủ khiến bất kỳ ai sơ ý cũng mất sạch mật khẩu

Nhóm nghiên cứu bảo mật của Huntress vừa cảnh báo về một chiến dịch tấn công khá tinh vi nhưng lại dựa trên thủ thuật tâm lý rất đời thường. Kẻ tấn công đã tạo ra một màn hình cập nhật Windows giả gần như chiếm toàn bộ trình duyệt. Mọi thứ được làm giống đến mức chỉ cần nhìn qua là nhiều người tin ngay.

Cách lừa không hề phức tạp. Nó thường xuất hiện trên những trang web kém uy tín, đặc biệt là các trang người lớn vốn có nhiều quảng cáo và cửa sổ bật lên. Chỉ cần bấm nhầm vào một quảng cáo hay một cửa sổ kiểm tra độ tuổi trông có vẻ vô hại, cả trình duyệt sẽ chuyển sang màn hình cập nhật Windows đứng yên ở mức 95 phần trăm.

Rồi trang web yêu cầu bạn nhấn phím Windows và R, sau đó dán một đoạn lệnh để hoàn tất cập nhật. Nghe thì hợp lý, nhưng đó chính là cú đánh mà ClickFix muốn người dùng tự thực hiện. Khi bạn làm theo, máy lập tức chạy công cụ mshta có sẵn trong Windows và tải về mã độc từ máy chủ của kẻ tấn công.

Để tránh bị phát hiện, mã độc còn được nhồi rất nhiều đoạn lệnh rác chỉ nhằm đánh lạc hướng các hệ thống bảo mật. Một phần mã lạ hơn nữa được giấu ngay trong một tệp ảnh PNG. Khi chạy, nó rút đoạn mã độc từ chính những điểm ảnh và len lỏi vào các tiến trình khác trong hệ thống bằng môi trường .NET.

Sau khi xâm nhập xong, ClickFix sẽ mở đường cho các mã độc chuyên đánh cắp dữ liệu như Rhadamanthys hay LummaC2. Từ đây, mọi thứ trong trình duyệt của bạn đều có thể bị hút về máy chủ của kẻ xấu. Từ mật khẩu, cookie, tài khoản ngân hàng cho đến ví tiền số, không thứ gì được xem là an toàn.

Các nhà nghiên cứu cho biết chiến dịch này đã hoạt động ít nhất từ đầu tháng mười và vẫn đang tiếp diễn. Nhiều tên miền giả được dùng để đặt màn hình cập nhật Windows, khiến việc nhận diện càng khó khăn. Họ còn phát hiện nhiều chuỗi ký tự vô nghĩa trong mã độc, thậm chí có đoạn trích liên quan đến một bài phát biểu cũ của Liên Hợp Quốc, gần như chỉ để tốn thời gian của những người điều tra.

Điều đáng sợ nhất là kẻ xấu không cần tải tệp vào máy bạn ngay từ đầu. Tất cả dựa vào thủ thuật đánh lừa người dùng tự tay chạy lệnh cho chúng.

Tóm lại cho bạn dễ hình dung

ClickFix đang lợi dụng thói quen tin vào màn hình cập nhật Windows. Chỉ cần bạn làm theo hướng dẫn giả mạo, mã độc sẽ tự mở cửa vào máy và hút sạch mọi dữ liệu riêng tư trong trình duyệt. Đây là dạng lừa rất khó nhận ra vì nó đánh vào phản xạ quen thuộc, không phải vào lỗ hổng kỹ thuật.

• Bộ phim Gửi Bạch Nguyệt Quang Của Tôi Nơi Chợ Rau do Trương Tịnh Nghi, Trần Tĩnh Khả đóng chính khai máy
• Nên mua loại cân thông minh nào để theo dõi sức khỏe của cơ thể chính xác?
• 12 cung hoàng đạo tuần này (1–7/12): Một tuần của những thay đổi, khởi đầu và sự sáng tỏ