Giả mạo Google Meet, hacker dụ người dùng tự chạy lệnh PowerShell độc hại

[WhiteHat Team]

Một chiến dịch mã độc mới với mức độ tinh vi cao vừa được các nhà nghiên cứu phát hiện, nhắm trực tiếp vào nhân viên làm việc từ xa và các tổ chức doanh nghiệp. Thay vì cách lừa đảo nhập mật khẩu quen thuộc, chiến dịch này sử dụng một trang Google Meet giả mạo để khiến nạn nhân tự tay chạy lệnh PowerShell độc hại ngay trong máy tính của mình. Đây là biến thể mới của kỹ thuật “ClickFix” quen thuộc.

​

Giả Google Meet “như thật”, nhưng lại yêu cầu người dùng tự chạy lệnh​

Trang web độc hại được đặt tại tên miền "gogl-meet[.]com", gần như giống hệt giao diện Google Meet thật. Khi truy cập, người dùng sẽ gặp thông báo lỗi “Can’t join the meeting”, kèm yêu cầu khắc phục bằng vài bước “kỹ thuật” bao gồm: Thao tác tổ hợp phím "Windows + R", sau đó "CTRL + V", rồi "Enter".

Thao tác tưởng như vô hại này thực chất được kích hoạt bởi JavaScript trên trang, sao chép một đoạn mã PowerShell độc hại vào clipboard. Khi người dùng làm theo hướng dẫn là đã tự tay dán và thực thi đoạn mã, vượt qua mọi lớp kiểm soát bảo vệ của trình duyệt như Google Safe Browsing hay SmartScreen. Khác với phishing thông thường, chiến dịch này không hề hỏi mật khẩu mà nó khiến nạn nhân tự trở thành tác nhân cài mã độc.

Phát hiện và phân tích kỹ thuật​

Nhà nghiên cứu điều tra đã phát hiện các máy bị nhiễm đều chứa RAT. Điểm đáng chú ý là chuyên gia phân tích đã tìm thấy bằng chứng rõ ràng trong Master File Table (MFT) của Windows, các chuỗi dữ liệu trong Alternative Data Stream (ADS) của tệp mã độc vẫn chứa thông tin:

• URL referrer: gogl-meet[.]com
• File độc hại được dán từ clipboard

Đây là dấu vết kỹ thuật cực kỳ quan trọng chứng minh nạn nhân bị lừa chạy lệnh, chứ không phải tải file qua email hay drive-by download. Đoạn PowerShell độc hại cũng được che giấu tinh vi, hacker chèn hàng loạt biểu tượng “tick xanh” và các ký tự trông “đáng tin” vào phần đầu đoạn mã. Khi hiển thị trong hộp thoại Run nhỏ, người dùng chỉ nhìn thấy các ký hiệu vô hại, trong khi đoạn lệnh tải RAT thật bị đẩy ra khỏi vùng nhìn thấy.

Hình thức giả mạo Google Meet cho thấy mục tiêu là môi trường doanh nghiệp, nơi lỗi camera/micro là chuyện thường gặp. Hacker đã chuyển từ các trang giả cập nhật trình duyệt sang mô phỏng nền tảng họp trực tuyến, nhắm đúng thói quen của nhân viên đang làm việc từ xa.

Khi RAT được cài đặt, hacker có thể:

• Điều khiển toàn bộ máy tính
• Đánh cắp tài liệu nội bộ
• Lấy cắp thông tin đăng nhập
• Di chuyển ngang trong mạng doanh nghiệp
• Triển khai thêm ransomware hoặc phần mềm gián điệp

Đây là kiểu xâm nhập nguy hiểm vì người dùng tự phê duyệt mọi bước, khiến các hệ thống bảo vệ khó nhận diện. Người dùng và đội ngũ an ninh mạng cần chú ý:

• Trang “Google Meet” yêu cầu chạy Windows + R hoặc dán lệnh PowerShell → 100% lừa đảo
• Hộp thoại Run xuất hiện nhiều ký tự lạ hoặc icon “tick xanh”
• PowerShell xuất phát từ Run dialog thay vì hệ thống
• Liên kết thuộc các domain giả mạo Google

Đối với người dùng cuối:

• Không bao giờ chạy lệnh Windows + R theo hướng dẫn từ trang web.
• Nếu gặp lỗi trong Google Meet/Zoom/Teams, hãy refresh, đổi trình duyệt hoặc kiểm tra thiết bị – không chạy “script sửa lỗi”.
• Kiểm tra kỹ đường dẫn URL trước khi nhấn “Join”.

Đối với tổ chức/doanh nghiệp:

• Cập nhật chính sách chặn PowerShell từ Run dialog nếu không cần thiết.
• Tạo rule phát hiện PowerShell chứa Unicode bất thường hoặc comment dài bất thường.
• Triển khai cảnh báo cho nhân viên về các chiến dịch ClickFix.
• Bật log chi tiết đối với clipboard, Run dialog và PowerShell execution.

Chiến dịch gogl-meet[.]com là minh chứng rõ ràng rằng hacker ngày càng tinh vi trong việc khai thác tâm lý và thói quen làm việc online. Chúng không cần vượt qua lớp bảo mật – chỉ cần khiến nạn nhân tự gõ lệnh. Trong bối cảnh họp trực tuyến trở thành chuẩn mực mới của doanh nghiệp, sự cảnh giác của người dùng và chính sách bảo vệ đúng cách là yếu tố quyết định để ngăn chặn những cuộc tấn công kiểu ClickFix trong tương lai.

WhiteHat​