Biến thể FileFix mới phát tán phần mềm độc hại StealC qua trang web lừa đảo

[Starlink]

Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch mới sử dụng biến thể của chiến thuật tấn công xã hội FileFix để phát tán phần mềm độc hại đánh cắp thông tin StealC.

Nhà nghiên cứu bảo mật Eliad Kimhy của Acronis cho biết trong một báo cáo chia sẻ với The Hacker News: "Chiến dịch được quan sát sử dụng một trang web lừa đảo đa ngôn ngữ có tính thuyết phục cao (ví dụ: trang Facebook Security giả mạo), với các kỹ thuật chống phân tích và che giấu nâng cao để tránh bị phát hiện".

Ở cấp độ cao hơn, chuỗi tấn công bao gồm việc sử dụng FileFix để dụ người dùng khởi chạy một tải trọng ban đầu, sau đó tiến hành tải xuống các hình ảnh có vẻ vô hại chứa các thành phần độc hại từ kho lưu trữ Bitbucket. Điều này cho phép kẻ tấn công lợi dụng sự tin cậy liên quan đến một nền tảng lưu trữ mã nguồn hợp pháp để vượt qua sự phát hiện.

FileFix, lần đầu tiên được nhà nghiên cứu bảo mật mrd0x ghi nhận là bằng chứng khái niệm (PoC) vào tháng 6 năm 2025, có một chút khác biệt so với ClickFix ở chỗ nó tránh yêu cầu người dùng phải khởi chạy hộp thoại Run của Windows và dán lệnh đã sao chép được mã hóa để hoàn tất kiểm tra xác minh CAPTCHA giả mạo trên các trang lừa đảo được thiết lập cho mục đích này.

Thay vào đó, nó lợi dụng tính năng tải tệp lên của trình duyệt web để lừa người dùng sao chép và dán lệnh vào thanh địa chỉ của File Explorer, khiến lệnh đó được thực thi cục bộ trên máy của nạn nhân.

Cuộc tấn công bắt đầu bằng một trang web lừa đảo mà nạn nhân có thể được chuyển hướng đến từ một email cảnh báo người nhận về khả năng tài khoản Facebook của họ sẽ bị đình chỉ sau một tuần, với lý do các bài đăng hoặc tin nhắn được chia sẻ vi phạm chính sách của Facebook. Sau đó, người dùng được yêu cầu kháng cáo quyết định bằng cách nhấp vào một nút.

Trang lừa đảo không chỉ bị che giấu rất nhiều mà còn sử dụng các kỹ thuật như mã rác và phân mảnh để cản trở nỗ lực phân tích.

Cuộc tấn công FileFix sẽ diễn ra khi nút được nhấp vào, tại thời điểm đó, nạn nhân sẽ thấy thông báo cho biết họ có thể truy cập phiên bản PDF của hành vi vi phạm chính sách được cho là bằng cách sao chép và dán đường dẫn đến tài liệu vào thanh địa chỉ của File Explorer.

Mặc dù đường dẫn được cung cấp trong hướng dẫn có vẻ hoàn toàn vô hại, nhưng việc nhấp vào nút "Sao chép" thực chất lại sao chép một lệnh độc hại có thêm khoảng trắng, do đó chỉ có đường dẫn tệp được hiển thị khi dán vào File Explorer khi mở bằng nút "Mở File Explorer".

Lệnh này là một tập lệnh PowerShell nhiều giai đoạn tải xuống hình ảnh đã đề cập ở trên, giải mã nó thành tải trọng giai đoạn tiếp theo và cuối cùng chạy trình tải dựa trên Go để giải nén shellcode chịu trách nhiệm khởi chạy StealC.

FileFix cũng cung cấp một lợi thế quan trọng so với ClickFix vì nó lạm dụng một tính năng được sử dụng rộng rãi trên trình duyệt thay vì mở hộp thoại Run (hoặc ứng dụng Terminal trong trường hợp Apple macOS), có thể bị quản trị viên hệ thống chặn như một biện pháp bảo mật.

Acronis cho biết: "Mặt khác, một trong những điều khiến ClickFix rất khó phát hiện ngay từ đầu là nó được tạo ra từ Explorer.exe thông qua hộp thoại chạy hoặc trực tiếp từ thiết bị đầu cuối, trong khi với FileFix, phần mềm độc hại được thực thi bởi trình duyệt web mà nạn nhân sử dụng, điều này có nhiều khả năng nổi bật trong quá trình điều tra hoặc đối với một sản phẩm bảo mật".

"Kẻ thù đứng sau cuộc tấn công này đã chứng tỏ sự đầu tư đáng kể vào kỹ thuật, thiết kế cẩn thận cơ sở hạ tầng lừa đảo, phân phối dữ liệu và các yếu tố hỗ trợ để tối đa hóa cả khả năng né tránh và tác động."

Tiết lộ này được đưa ra khi Doppel trình bày chi tiết một chiến dịch khác được phát hiện sử dụng kết hợp các cổng hỗ trợ giả mạo, các trang lỗi Cloudflare CAPTCHA và chiếm đoạt clipboard -- tức là ClickFix -- để thao túng nạn nhân chạy mã PowerShell độc hại tải xuống và chạy tập lệnh AutoHotkey (AHK).

Tập lệnh này được thiết kế để lập hồ sơ máy chủ bị xâm phạm và cung cấp các phần mềm độc hại bổ sung, bao gồm AnyDesk, TeamViewer, phần mềm đánh cắp thông tin và phần mềm độc hại clipper.

Công ty an ninh mạng cho biết họ cũng quan sát thấy các biến thể khác của hoạt động này, trong đó nạn nhân được hướng dẫn chạy lệnh MSHTA trỏ đến một tên miền Google tương tự ("wl.google-587262[.]com"), sau đó truy xuất và thực thi một tập lệnh độc hại từ xa.

"AHK là ngôn ngữ lập trình dựa trên Windows ban đầu được thiết kế để tự động hóa các tác vụ lặp lại như nhấn phím và nhấp chuột", nhà nghiên cứu bảo mật Aarsh Jawa của Doppel lưu ý.

"Mặc dù AHK từ lâu đã được người dùng chuyên nghiệp và quản trị viên hệ thống ưa chuộng nhờ tính đơn giản và linh hoạt, nhưng các tác nhân đe dọa đã bắt đầu lợi dụng AHK vào khoảng năm 2019 để tạo ra các chương trình thả phần mềm độc hại và đánh cắp thông tin nhẹ. Các tập lệnh độc hại này thường ngụy trang thành các công cụ tự động hóa hoặc tiện ích hỗ trợ vô hại."