Tin tặc khai thác WordPress để thực hiện các cuộc tấn công lừa đảo ClickFix

[Starlink]

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch đen tối nhắm vào các trang web WordPress để thực hiện các đoạn mã JavaScript độc hại nhằm chuyển hướng người dùng đến các trang web đáng ngờ.

Nhà nghiên cứu Puja Srivastava của Sucuri cho biết trong một bài phân tích được công bố tuần trước: "Người truy cập trang web sẽ nhận được nội dung là phần mềm độc hại như xác minh Cloudflare giả mạo".

Công ty bảo mật trang web cho biết họ đã bắt đầu điều tra sau khi một trong những trang WordPress của khách hàng cung cấp mã JavaScript của bên thứ ba đáng ngờ cho khách truy cập trang web, cuối cùng phát hiện ra rằng những kẻ tấn công đã đưa các sửa đổi độc hại vào một tệp liên quan đến chủ đề ("functions.php").

Mã được chèn vào "functions.php" có chứa tham chiếu đến Google Ads, có thể là để tránh bị phát hiện. Tuy nhiên, trên thực tế, nó hoạt động như một trình tải từ xa bằng cách gửi yêu cầu HTTP POST đến tên miền "brazilc[.]com", sau đó tên miền này sẽ phản hồi bằng một tải trọng động bao gồm hai thành phần:

    Một tệp JavaScript được lưu trữ trên máy chủ từ xa ("porsasystem[.]com"), tính đến thời điểm viết bài này, đã được tham chiếu trên 17 trang web và chứa mã để thực hiện chuyển hướng trang web
    Một đoạn mã JavaScript tạo ra một iframe ẩn, 1x1 pixel, trong đó nó chèn mã mô phỏng các tài sản Cloudflare hợp pháp như "cdn-cgi/challenge-platform/scripts/jsd/main.js" – một API là phần cốt lõi của nền tảng phát hiện bot và thử thách

Điều đáng chú ý là tên miền " porsasystem[.]com " đã được đánh dấu là một phần của hệ thống phân phối lưu lượng truy cập (TDS) có tên là Kongtuke (hay còn gọi là 404 TDS, Chaya_002, LandUpdate808 và TAG-124).

Theo thông tin được chia sẻ bởi một tài khoản có tên " monitorsg " trên Mastodon vào ngày 19 tháng 9 năm 2025, chuỗi lây nhiễm bắt đầu khi người dùng truy cập vào một trang web bị xâm phạm, dẫn đến việc thực thi "porsasystem[.]com/6m9x.js", sau đó dẫn đến "porsasystem[.]com/js.php" để cuối cùng đưa nạn nhân đến các trang theo kiểu ClickFix để phân phối phần mềm độc hại.

Những phát hiện này minh họa cho nhu cầu bảo mật các trang web WordPress và đảm bảo các plugin, chủ đề và phần mềm trang web được cập nhật thường xuyên, áp dụng mật khẩu mạnh, quét các trang web để tìm các bất thường và tài khoản quản trị viên bất ngờ được tạo ra để duy trì quyền truy cập liên tục ngay cả sau khi phần mềm độc hại đã được phát hiện và xóa.

Tạo trang ClickFix bằng IUAM ClickFix Generator.

Tiết lộ này được đưa ra khi Palo Alto Networks Unit 42 trình bày chi tiết về một bộ công cụ lừa đảo có tên IUAM ClickFix Generator cho phép kẻ tấn công lây nhiễm phần mềm độc hại cho người dùng bằng cách tận dụng kỹ thuật kỹ thuật xã hội ClickFix và tạo ra các trang đích có thể tùy chỉnh bằng cách mô phỏng các thử thách xác minh trình duyệt thường được sử dụng để chặn lưu lượng truy cập tự động.

"Công cụ này cho phép kẻ tấn công tạo ra các trang lừa đảo có khả năng tùy chỉnh cao, mô phỏng hành vi thử thách-phản hồi của trang xác minh trình duyệt thường được triển khai bởi Mạng Phân phối Nội dung (CDN) và các nhà cung cấp bảo mật đám mây để chống lại các mối đe dọa tự động", nhà nghiên cứu bảo mật Amer Elsad cho biết. "Giao diện giả mạo được thiết kế để trông giống như thật đối với nạn nhân, giúp tăng hiệu quả của chiêu trò."

Các trang lừa đảo được thiết kế riêng cũng có khả năng thao túng bảng tạm, một bước quan trọng trong cuộc tấn công ClickFix, cũng như phát hiện hệ điều hành được sử dụng để điều chỉnh trình tự lây nhiễm và cung cấp phần mềm độc hại tương thích.

Trong ít nhất hai trường hợp khác nhau, tác nhân đe dọa đã bị phát hiện bằng cách sử dụng các trang được tạo bằng bộ công cụ để triển khai các chương trình đánh cắp thông tin như DeerStealer và Odyssey Stealer, chương trình sau được thiết kế để nhắm mục tiêu vào hệ thống macOS của Apple.

Sự xuất hiện của IUAM ClickFix Generator là một phần trong cảnh báo trước đó của Microsoft về sự gia tăng các nhà xây dựng ClickFix thương mại trên các diễn đàn ngầm kể từ cuối năm 2024. Một ví dụ đáng chú ý khác về bộ công cụ lừa đảo đã tích hợp dịch vụ này là Impact Solutions.

"Các bộ công cụ này cung cấp khả năng tạo trang đích với nhiều mồi nhử có sẵn, bao gồm cả Cloudflare", Microsoft đã lưu ý vào tháng 8 năm 2025. "Chúng cũng cung cấp khả năng xây dựng các lệnh độc hại mà người dùng sẽ dán vào hộp thoại Run của Windows. Các bộ công cụ này tuyên bố có thể vượt qua phần mềm diệt vi-rút và bảo vệ web (một số thậm chí còn hứa hẹn có thể vượt qua Microsoft Defender SmartScreen), cũng như khả năng duy trì tải trọng."

Không cần phải nói, những công cụ này càng làm giảm rào cản gia nhập đối với tội phạm mạng, cho phép chúng thực hiện các cuộc tấn công phức tạp, đa nền tảng ở quy mô lớn mà không cần nhiều nỗ lực hoặc chuyên môn kỹ thuật.

ClickFix trở nên bí mật thông qua việc buôn lậu bộ nhớ đệm.

Những phát hiện này cũng theo sau việc phát hiện ra một chiến dịch mới đã đổi mới công thức tấn công ClickFix bằng cách sử dụng một kỹ thuật lén lút được gọi là chuyển lậu bộ nhớ đệm để tránh bị phát hiện thay vì tải xuống bất kỳ tệp độc hại nào trên máy chủ mục tiêu.

"Chiến dịch này khác với các biến thể ClickFix trước đây ở chỗ mã độc không tải xuống bất kỳ tệp nào hoặc giao tiếp với internet", Marcus Hutchins, Nhà nghiên cứu Mối đe dọa Chính của Expel, cho biết. "Điều này đạt được bằng cách sử dụng bộ nhớ đệm của trình duyệt để lưu trữ trước dữ liệu tùy ý vào máy tính của người dùng."

Expel cho biết họ không thể xác định được dữ liệu cuối cùng nhận được từ cuộc tấn công. Hiện tại, họ cũng chưa rõ người dùng nào bị chuyển hướng đến trang lừa đảo, và liệu nó có liên quan đến các kỹ thuật như quảng cáo độc hại hoặc đầu độc tối ưu hóa công cụ tìm kiếm (SEO) hay không.

"Tệp được trích xuất từ bộ nhớ đệm được sử dụng để thiết lập một tác vụ theo lịch trình, được thiết lập để chạy sau mỗi lần khởi động lại", Hutchins nói với The Hacker News. "Khi tác vụ chạy, nó sẽ kết nối với một máy chủ chỉ huy và điều khiển đang chờ các lệnh tiếp theo."

Trong cuộc tấn công được công ty an ninh mạng ghi nhận, trang theo chủ đề ClickFix ngụy trang thành Fortinet VPN Compliance Checker, sử dụng chiến thuật của FileFix để lừa người dùng khởi chạy Windows File Explorer và dán lệnh độc hại vào thanh địa chỉ để kích hoạt việc thực thi phần mềm độc hại.

Lệnh ẩn này được thiết kế để chạy một tập lệnh PowerShell thông qua conhost.exe. Điểm khác biệt của tập lệnh này là nó không tải xuống bất kỳ phần mềm độc hại bổ sung nào hoặc giao tiếp với máy chủ do kẻ tấn công kiểm soát. Thay vào đó, nó thực thi một đoạn mã được mã hóa ẩn danh dưới dạng ảnh JPEG và đã được trình duyệt lưu vào bộ nhớ đệm khi người dùng truy cập vào trang lừa đảo.

"Cả trang web lẫn tập lệnh PowerShell đều không tải xuống bất kỳ tệp nào một cách rõ ràng", Hutchins giải thích. "Chỉ cần để trình duyệt lưu trữ tạm thời 'hình ảnh' giả mạo, phần mềm độc hại có thể đưa toàn bộ tệp ZIP vào hệ thống cục bộ mà không cần lệnh PowerShell thực hiện bất kỳ yêu cầu web nào."

"Những tác động của kỹ thuật này rất đáng lo ngại, vì việc chuyển lậu bộ nhớ đệm có thể là một cách để lách các biện pháp bảo vệ vốn có thể phát hiện các tệp độc hại khi chúng được tải xuống và thực thi. Một tệp 'image/jpeg' trông có vẻ vô hại được tải xuống, nhưng nội dung của nó lại bị trích xuất và sau đó thực thi thông qua lệnh PowerShell ẩn trong mồi nhử lừa đảo ClickFix."