Hir.harvard.edu ClickFix Malware
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch trong đó các tin tặc mạo danh trang web chính thức của Đại học Harvard (hir.harvard.edu) để phát tán phần mềm độc hại. Bằng cách lợi dụng quyền truy cập vào một tên miền có độ tin cậy cao và uy tín, những kẻ tấn công lưu trữ nội dung độc hại bắt chước rất thuyết phục các trang web hợp pháp. Chiến thuật này làm tăng đáng kể khả năng người dùng không nghi ngờ sẽ tương tác với nội dung, làm giảm sự cảnh giác tự nhiên của họ đối với các mối đe dọa tiềm tàng.
Mục lục
Lỗ hổng ClickFix: Thao túng hành vi người dùng
Cuộc tấn công dựa trên kỹ thuật ClickFix , một phương pháp phát tán phần mềm độc hại lừa đảo bắt nguồn từ kỹ thuật thao túng tâm lý. Thay vì khai thác trực tiếp các lỗ hổng phần mềm, phương pháp này thao túng người dùng tự thực thi các lệnh độc hại. Nạn nhân thường nhận được các cảnh báo hệ thống giả mạo, các bước xác minh CAPTCHA hoặc các hướng dẫn "sửa chữa" khẩn cấp trông có vẻ đáng tin cậy và cần thiết.
Trên thực tế, những lời nhắc này được thiết kế cẩn thận để thuyết phục người dùng chạy các lệnh âm thầm khởi động quá trình lây nhiễm phần mềm độc hại trên thiết bị của họ.
Quy trình nhiễm trùng từng bước
Trên trang web bị xâm nhập, khách truy cập được yêu cầu hoàn thành một quy trình xác minh có vẻ như là CAPTCHA. Hướng dẫn này dẫn người dùng thực hiện một chuỗi các thao tác nhập liệu trên bàn phím được thiết kế để mở giao diện dòng lệnh và thực thi mã độc hại ẩn.
- Người dùng được hướng dẫn nhấn tổ hợp phím Win + X, sau đó chọn PowerShell hoặc Terminal, tiếp theo là Ctrl + V, và cuối cùng là Enter.
- Lệnh độc hại đã được trang web sao chép vào clipboard, đảm bảo nó được dán mà người dùng không nhìn thấy nội dung của nó.
- Việc thực thi lệnh này sẽ kích hoạt quá trình tải xuống và chạy phần mềm độc hại, từ đó làm suy yếu hệ thống.
Phương pháp này chuyển trách nhiệm thực thi sang người dùng, làm cho các biện pháp phòng vệ an ninh truyền thống trở nên kém hiệu quả hơn.
Hậu quả của các cuộc tấn công dựa trên ClickFix
Các chiến dịch ClickFix thường được sử dụng để triển khai nhiều loại phần mềm độc hại. Sau khi được thực thi, những mối đe dọa này có thể gây ảnh hưởng nghiêm trọng đến cả cá nhân và tổ chức bằng cách cho phép:
- Đánh cắp dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập và thông tin tài chính.
- Truy cập từ xa và điều khiển thiết bị trái phép
- Mã hóa tập tin rồi đòi tiền chuộc
- Chiếm đoạt tài khoản và lan truyền các cuộc tấn công khác
Những kết quả như vậy cho thấy tính linh hoạt và sự nguy hiểm của kỹ thuật này trong các hoạt động tội phạm mạng hiện đại.
Các kênh phân phối phần mềm độc hại bổ sung
Ngoài ClickFix, tội phạm mạng còn sử dụng nhiều phương pháp khác để phát tán phần mềm độc hại và xâm nhập hệ thống. Các phương thức phát tán phổ biến bao gồm các vụ lừa đảo hỗ trợ kỹ thuật giả mạo, email lừa đảo chứa tệp đính kèm hoặc liên kết độc hại, phần mềm lậu và công cụ bẻ khóa, quảng cáo gây hiểu nhầm, trang web không chính thức và nền tảng tải xuống của bên thứ ba.
Nhận thức phòng thủ: Nhận diện mối đe dọa
Các cuộc tấn công ClickFix nhấn mạnh tầm quan trọng của việc nâng cao nhận thức người dùng trong an ninh mạng. Bất kỳ hướng dẫn nào khuyến khích người dùng tự thực hiện các lệnh, đặc biệt là thông qua các công cụ hệ thống như PowerShell hoặc Terminal, đều nên được coi là rất đáng ngờ. Các trang web và dịch vụ hợp pháp không yêu cầu người dùng thực hiện các hành động như vậy để xác minh hoặc khắc phục sự cố.
Nhận biết những thủ đoạn lừa đảo này và từ chối làm theo những chỉ dẫn đó vẫn là biện pháp phòng vệ quan trọng chống lại sự lây nhiễm và xâm phạm dữ liệu.
