-
09/04/2020
-
122
-
1.263 bài viết
Chiến dịch ClickFix lộng hành, giả mạo Booking.com gieo rắc mã độc toàn cầu
Trong khi nhiều người Việt đang tất bật lên kế hoạch du lịch cuối năm, một mối nguy hiểm đang âm thầm rình rập sau những email tưởng như vô hại. Chiến dịch tấn công có tên ClickFix đang bùng phát toàn cầu, lợi dụng các nền tảng đặt phòng phổ biến như Booking.com để phát tán mã độc nhằm chiếm quyền truy cập và đánh cắp dữ liệu của các khách sạn, cơ sở lưu trú khiến nhiều chuyên gia an ninh mạng lên tiếng cảnh báo.
Sơ đồ minh họa time-line tấn công đa hướng và lợi dụng nhiều kỹ thuật tinh vi của ClickFix
(Ảnh: WhiteHat)
Cho đến nay, các chuyên gia Bkav ghi nhận ClickFix đang sử dụng mã độc PureRAT - một dạng Remote Access Trojan (RAT) cho phép kẻ tấn công thiết lập quyền điều khiển từ xa, giám sát hoạt động người dùng, thu thập thông tin đăng nhập, triển khai thêm payload thứ cấp trong mạng nội bộ. Việc bổ sung PureRAT cho thấy chiến dịch tấn công đang “bành trướng” cả về mục tiêu và mức độ xâm nhập sâu vào hệ thống sau khi chiếm được quyền truy cập ban đầu.
Cụ thể kẻ tấn công lợi dụng các email lừa đảo mạo danh nền tảng đặt phòng Booking.com hoặc Expedia để chuyển hướng nạn nhân đến các trang web độc hại, cài cắm khéo léo để nạn nhân làm theo một cách vô thức (nên có tên gọi là ClickFix) để triển khai mã độc PureRAT. Từ đó, mã độc có thể chiếm quyền điều khiển máy tính, âm thầm thu thập thông tin đăng nhập, đánh cắp dữ liệu khách hàng và thậm chí cài thêm các phần mềm gián điệp khác nhằm duy trì quyền kiểm soát lâu dài.
Email thường có nội dung dạng “Xác nhận đặt phòng”, “Khiếu nại khách hàng”, “Cập nhật thanh toán”, “Hủy đặt phòng”... ngụy trang gần giống email thật rồi đính kèm link hoặc tệp Excel "đã tẩm" mã độc. Chỉ cần nhân viên khách sạn hoặc lễ tân đặt phòng vô tình nhấp vào hoặc mở tệp tin đính kèm, lệnh PowerShell độc hại sẽ ngay lập tức được kích hoạt.
(Ảnh: WhiteHat)
Đợt tấn công mới nhất, các chuyên gia an ninh mạng của Pháp ghi nhận kẻ tấn công sử dụng các tài khoản email đã bị xâm nhập để gửi thư đến nhiều khách sạn ở nhiều quốc gia. Những email này dụ người nhận nhấp vào liên kết giả mạo từ đó kích hoạt chuỗi chuyển hướng dẫn đến trang dạng ClickFix, nơi xuất hiện thử thách reCAPTCHA giả nhằm đánh lừa nạn nhân rằng thao tác này giúp “đảm bảo an ninh cho kết nối”. Ngoài việc tấn công nhân viên khách sạn, chiến dịch này còn nhắm trực tiếp vào khách lưu trú. Kẻ gian liên hệ qua WhatsApp hoặc email, sử dụng thông tin đặt phòng hoàn toàn hợp lệ để tạo sự tin tưởng. Sau đó, chúng yêu cầu khách nhấp vào một liên kết “xác minh” và “xác nhận thông tin thẻ ngân hàng” với lý do tránh bị hủy đặt phòng, qua đó lừa nạn nhân cung cấp dữ liệu nhạy cảm.
Khi kỳ nghỉ lễ Tết Tây và Tết Nguyên Đán đang đến gần, nhu cầu đặt phòng du lịch tăng cao, người dân và đội ngũ nhân viên cơ sở lưu trú cần cảnh giác cao độ:
PureRAT: Bước ngoặt nâng cấp của chiến dịch ClickFix
Chiến dịch ClickFix trải qua nhiều giai đoạn phát triển, liên tục nâng cấp chiến thuật, kỹ thuật và quy trình triển khai để ngày càng tinh vi và khó bị phát hiện. Thay vì phát tán đại trà, nhóm tấn công tập trung vào những mục tiêu đã chọn, sử dụng các email được dàn dựng khéo léo khiến nạn nhân khó phân biệt thật/giả. Đáng lo ngại hơn, chiến dịch có dấu hiệu thương mại hóa theo mô hình “Attack-as-a-Service” cho phép tội phạm dễ dàng mua công cụ và tiến hành tấn công, làm gia tăng rủi ro cho nhiều ngành nghề và lĩnh vực.Sơ đồ minh họa time-line tấn công đa hướng và lợi dụng nhiều kỹ thuật tinh vi của ClickFix
(Ảnh: WhiteHat)
Cho đến nay, các chuyên gia Bkav ghi nhận ClickFix đang sử dụng mã độc PureRAT - một dạng Remote Access Trojan (RAT) cho phép kẻ tấn công thiết lập quyền điều khiển từ xa, giám sát hoạt động người dùng, thu thập thông tin đăng nhập, triển khai thêm payload thứ cấp trong mạng nội bộ. Việc bổ sung PureRAT cho thấy chiến dịch tấn công đang “bành trướng” cả về mục tiêu và mức độ xâm nhập sâu vào hệ thống sau khi chiếm được quyền truy cập ban đầu.
Cụ thể kẻ tấn công lợi dụng các email lừa đảo mạo danh nền tảng đặt phòng Booking.com hoặc Expedia để chuyển hướng nạn nhân đến các trang web độc hại, cài cắm khéo léo để nạn nhân làm theo một cách vô thức (nên có tên gọi là ClickFix) để triển khai mã độc PureRAT. Từ đó, mã độc có thể chiếm quyền điều khiển máy tính, âm thầm thu thập thông tin đăng nhập, đánh cắp dữ liệu khách hàng và thậm chí cài thêm các phần mềm gián điệp khác nhằm duy trì quyền kiểm soát lâu dài.
Email thường có nội dung dạng “Xác nhận đặt phòng”, “Khiếu nại khách hàng”, “Cập nhật thanh toán”, “Hủy đặt phòng”... ngụy trang gần giống email thật rồi đính kèm link hoặc tệp Excel "đã tẩm" mã độc. Chỉ cần nhân viên khách sạn hoặc lễ tân đặt phòng vô tình nhấp vào hoặc mở tệp tin đính kèm, lệnh PowerShell độc hại sẽ ngay lập tức được kích hoạt.
(Ảnh: WhiteHat)
Đợt tấn công mới nhất, các chuyên gia an ninh mạng của Pháp ghi nhận kẻ tấn công sử dụng các tài khoản email đã bị xâm nhập để gửi thư đến nhiều khách sạn ở nhiều quốc gia. Những email này dụ người nhận nhấp vào liên kết giả mạo từ đó kích hoạt chuỗi chuyển hướng dẫn đến trang dạng ClickFix, nơi xuất hiện thử thách reCAPTCHA giả nhằm đánh lừa nạn nhân rằng thao tác này giúp “đảm bảo an ninh cho kết nối”. Ngoài việc tấn công nhân viên khách sạn, chiến dịch này còn nhắm trực tiếp vào khách lưu trú. Kẻ gian liên hệ qua WhatsApp hoặc email, sử dụng thông tin đặt phòng hoàn toàn hợp lệ để tạo sự tin tưởng. Sau đó, chúng yêu cầu khách nhấp vào một liên kết “xác minh” và “xác nhận thông tin thẻ ngân hàng” với lý do tránh bị hủy đặt phòng, qua đó lừa nạn nhân cung cấp dữ liệu nhạy cảm.
Báo động đỏ đối với hệ thống khách sạn tại Việt Nam
Booking.com là một trong những kênh đặt phòng phổ biến tại Việt Nam bên cạnh Agoda, Traveloka... với hàng chục nghìn cơ sở lưu trú phụ thuộc vào nền tảng này. Vì vậy, nguy cơ chiến dịch ClickFix lan rộng vào Việt Nam là hiện hữu, nhất là khi nhiều nhân viên khách sạn chưa được đào tạo đầy đủ về an ninh mạng.Khi kỳ nghỉ lễ Tết Tây và Tết Nguyên Đán đang đến gần, nhu cầu đặt phòng du lịch tăng cao, người dân và đội ngũ nhân viên cơ sở lưu trú cần cảnh giác cao độ:
- Kiểm tra kỹ địa chỉ email gửi đến
- Không mở tệp đính kèm, link lạ
- Ưu tiên truy cập các nền tảng đặt phòng bằng ứng dụng hoặc trang chủ chính thức
- Cài đặt hệ thống giám sát email, phần mềm diệt virus, giải pháp chống mã độc toàn diện vì các phần mềm có sẵn kèm hệ điều hành chỉ được thiết kế để đáp ứng nhu cầu bảo vệ ở mức cơ bản của khách hàng, không đủ khả năng chống lại các ransomware, virus hiện đại được thiết kế nằm vùng lâu dài, ăn sâu vào hệ thống.
Chỉnh sửa lần cuối: