An ninh mạng

Cảnh báo chiến dịch ClickFix: Malware mới và các chiêu trò giả mạo cập nhật phần mềm

Các chiến dịch ClickFix đang mở rộng quy mô với các loader mới như BabaDeda, Lorem Ipsum và Potemkin, lợi dụng kỹ thuật social engineering để phát tán mã độc và...

Nguyen Hung
17 Tháng 6, 2026 2 Min Read
1 0

Các nhà nghiên cứu an ninh mạng vừa phát hiện hàng loạt chiến dịch tấn công sử dụng kỹ thuật ClickFix để phát tán ba loại malware loader mới: BabaDeda Loader, Lorem Ipsum LoaderPotemkin. Các báo cáo độc lập từ Morphisec, BlueVoyant và Huntress cho thấy sự gia tăng đáng kể trong các nỗ lực xâm nhập nhắm vào nhiều lĩnh vực khác nhau.

Table Of Content

Chiến thuật ClickFix: Lợi dụng sự tin tưởng của người dùng

Kỹ thuật ClickFix dựa trên hình thức social engineering, đánh lừa người dùng thực hiện các lệnh PowerShell độc hại dưới danh nghĩa “khắc phục sự cố” hoặc “cập nhật phần mềm”. Khi người dùng làm theo hướng dẫn, mã độc sẽ được tải xuống, từ đó mở đường cho các loại info-stealer và RAT (Remote Access Trojan) xâm nhập hệ thống.

Các biến thể Loader nguy hiểm

  • BabaDeda Loader: Được phát hiện nhắm vào các tổ chức giáo dục và tài chính. Loader này được thiết kế để ẩn mình, kiểm tra môi trường máy chủ (tránh các hệ thống tại Nga hoặc Belarus) và tiêm mã độc vào các tiến trình Windows hợp lệ như svchost.exe.
  • Lorem Ipsum Loader: Liên quan đến nhóm tin tặc Vanilla Tempest (từng đứng sau các chiến dịch ransomware như Rhysida, BlackCat). Nhóm này đã chuyển hướng sang sử dụng các trang WordPress bị hack để làm điểm phát tán, thay thế cho mô hình sử dụng chứng chỉ số giả mạo trước đây.
  • Potemkin: Một loader tinh vi sử dụng thuật toán tạo tên miền (DGA) để liên lạc với server C2. Nó đóng vai trò là cầu nối để triển khai các công cụ như EtherRAT và RMMProject, cho phép kẻ tấn công kiểm soát màn hình từ xa và đánh cắp thông tin đăng nhập trình duyệt.

Tại sao ClickFix vẫn hiệu quả?

Theo các chuyên gia từ Huntress, ClickFix thành công vì nó khai thác tâm lý con người. Khi người dùng được hướng dẫn thực hiện các bước “khắc phục sự cố” trông có vẻ chuyên nghiệp (như nhấn Win+R, dán lệnh và nhấn Enter), họ thường không nghi ngờ. Điều này cho thấy các cuộc tấn công không cần quá phức tạp về kỹ thuật mà chỉ cần đánh lừa được người dùng thực hiện hành động sai lầm.

Trước tình hình này, các hãng công nghệ đã bắt đầu có động thái phản ứng. Điển hình là Apple với bản cập nhật macOS Tahoe 26.4, bổ sung tính năng cảnh báo khi người dùng dán các lệnh lạ vào Terminal, nhằm ngăn chặn việc thực thi mã độc từ các nguồn không xác định.

Các chuyên gia khuyến cáo người dùng tuyệt đối không sao chép và thực thi các lệnh PowerShell hoặc script từ các trang web không tin cậy, ngay cả khi chúng xuất hiện dưới dạng thông báo lỗi hoặc yêu cầu cập nhật phần mềm.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept