Ba chiến dịch ClickFix khác nhau đã được phát hiện hoạt động như một vector phân phối để triển khai phần mềm đánh cắp thông tin macOS có tên MacSync.
"Không giống như các cuộc tấn công dựa trên exploit truyền thống, phương pháp này hoàn toàn dựa vào tương tác của người dùng – thường là dưới dạng sao chép và thực thi các lệnh – khiến nó đặc biệt hiệu quả đối với những người dùng có thể không đánh giá cao ý nghĩa của việc chạy các lệnh Terminal không xác định và bị che giấu," các nhà nghiên cứu Jagadeesh Chandraiah, Tonmoy Jitu, Dmitry Samosseiko và Matt Wixey của Sophos cho biết.
Hiện tại vẫn chưa rõ liệu các chiến dịch này có phải là công việc của cùng một threat actor hay không. Việc sử dụng các chiêu trò ClickFix để phân phối malware cũng đã được Jamf Threat Labs cảnh báo vào tháng 12 năm 2025. Chi tiết của ba chiến dịch như sau:
- Tháng 11 năm 2025: Một chiến dịch sử dụng trình duyệt OpenAI Atlas làm mồi nhử, được phân phối qua kết quả tìm kiếm được tài trợ trên Google, để điều hướng người dùng đến một URL Google Sites giả mạo với nút tải xuống mà khi nhấp vào, sẽ hiển thị hướng dẫn mở ứng dụng Terminal và dán một lệnh vào đó. Hành động này tải xuống một shell script, script này sẽ nhắc người dùng nhập mật khẩu hệ thống và chạy MacSync với quyền người dùng.
- Tháng 12 năm 2025: Một chiến dịch malvertising đã lợi dụng các liên kết được tài trợ liên quan đến các truy vấn như "cách dọn dẹp máy Mac của bạn" trên Google để dẫn người dùng đến các cuộc trò chuyện được chia sẻ trên trang OpenAI ChatGPT hợp pháp để tạo ấn tượng rằng các liên kết này an toàn. Các cuộc trò chuyện trên ChatGPT đã chuyển hướng nạn nhân đến các trang đích giả mạo GitHub, lừa người dùng chạy các lệnh độc hại trên ứng dụng Terminal.
- Tháng 2 năm 2026: Một chiến dịch nhắm mục tiêu vào Bỉ, Ấn Độ và một phần Bắc và Nam Mỹ đã phân phối một biến thể mới của MacSync được phân phối thông qua các chiêu trò ClickFix. Phiên bản mới nhất hỗ trợ các payload AppleScript động và thực thi trong bộ nhớ để trốn tránh phân tích tĩnh, bỏ qua các phát hiện dựa trên hành vi và làm phức tạp phản ứng sự cố.
Shell script được khởi chạy sau khi chạy lệnh Terminal được thiết kế để liên hệ với một máy chủ được hard-coded và truy xuất payload infostealer AppleScript, đồng thời thực hiện các bước để xóa bằng chứng đánh cắp dữ liệu. Stealer này được trang bị để thu thập nhiều loại dữ liệu từ các máy chủ bị xâm nhập, bao gồm lấy cắp credentials, files, keychain databases và seed phrases từ cryptocurrency wallets.
Những phát hiện mới nhất cho thấy các threat actor đang điều chỉnh công thức để đi trước các công cụ bảo mật một bước, đồng thời vũ khí hóa sự tin tưởng liên quan đến các cuộc trò chuyện trên ChatGPT để thuyết phục người dùng chạy các lệnh độc hại.
Biến thể mới được quan sát trong chiến dịch gần đây nhất "có khả năng đại diện cho việc nhà phát triển malware điều chỉnh các biện pháp bảo mật của OS và phần mềm để duy trì hiệu quả," Sophos cho biết. "Việc tinh chỉnh các chiến thuật social engineering ClickFix điển hình do đó là một cách mà các chiến dịch như vậy có thể tiếp tục phát triển trong tương lai."
Trong những tháng gần đây, các chiến dịch ClickFix đã sử dụng các nền tảng hợp pháp như Cloudflare Pages (pages.dev), Squarespace và Tencent EdgeOne để lưu trữ các hướng dẫn giả mạo để cài đặt các công cụ dành cho nhà phát triển như Claude Code của Anthropic. Các URL này được phân phối thông qua các quảng cáo công cụ tìm kiếm độc hại.
Các hướng dẫn này, như trước đây, lừa nạn nhân cài đặt infostealer malware như Amatera Stealer. Cuộc tấn công social engineering này đã được đặt tên mã là InstallFix hoặc GoogleFix. Theo Nati Tal, người đứng đầu Guardio Labs, các chuỗi lây nhiễm tương tự dẫn đến việc triển khai infostealer Alien trên Windows và Atomic Stealer trên macOS.
Lệnh PowerShell được thực thi sau khi dán và chạy lệnh cài đặt Claude Code được cho là sẽ lấy một gói Chrome extension hợp pháp trong một tệp HTML Application (HTA độc hại), sau đó khởi chạy một .NET loader bị làm rối để triển khai Alien trong bộ nhớ, theo Tal.
"Trong khi các cuộc tấn công ClickFix truyền thống cần tạo ra lý do để người dùng chạy một lệnh: một CAPTCHA giả, một thông báo lỗi bịa đặt, một lời nhắc hệ thống giả mạo — InstallFix không cần bất kỳ điều gì trong số đó," Push Security cho biết. "Cái cớ đơn giản là người dùng muốn cài đặt phần mềm hợp pháp."
Theo Pillar Security, đã có ít nhất 20 chiến dịch malware riêng biệt nhắm mục tiêu vào các công cụ artificial intelligence (AI) và vibe coding từ tháng 2 đến tháng 3 năm 2026. Chúng bao gồm các trình soạn thảo mã, AI agents, nền tảng large language models (LLM), các tiện ích mở rộng trình duyệt hỗ trợ AI, trình tạo video AI và các công cụ kinh doanh AI. Trong số này, chín chiến dịch đã được phát hiện nhắm mục tiêu vào cả Windows và macOS, với bảy chiến dịch khác chỉ ảnh hưởng đến người dùng macOS.
"Lý do rất rõ ràng: người dùng công cụ AI/vibe coding có xu hướng dùng macOS rất nhiều, và người dùng macOS có xu hướng có các credentials giá trị cao hơn (SSH keys, cloud tokens, cryptocurrency wallets)," nhà nghiên cứu Eilon Cohen của Pillar Security cho biết.
"Kỹ thuật ClickFix/InstallFix (lừa người dùng dán lệnh vào Terminal) đặc biệt hiệu quả đối với các nhà phát triển vì curl | sh là một kiểu cài đặt hợp pháp. Homebrew, Rust, nvm và nhiều công cụ dành cho nhà phát triển khác sử dụng chính xác kiểu này. Các lệnh độc hại ẩn mình ngay trước mắt."
Không cần phải nói, lợi thế mà ClickFix (và các biến thể của nó) mang lại đã khiến chiến thuật này được nhiều threat actor và nhóm áp dụng. Điều này bao gồm một hệ thống phân phối lưu lượng độc hại (TDS) có tên KongTuke (còn gọi là 404 TDS, Chaya_002, LandUpdate808 và TAG-124), sử dụng các trang web WordPress bị xâm nhập và các chiêu trò CAPTCHA giả mạo để phân phối một trojan dựa trên Python có tên ModeloRAT.
Những kẻ tấn công inject JavaScript độc hại vào các trang web WordPress hợp pháp, nhắc người dùng chạy một lệnh PowerShell chịu trách nhiệm khởi động một quá trình lây nhiễm nhiều giai đoạn để triển khai trojan.
"Nhóm này tiếp tục sử dụng phương pháp này cùng với kỹ thuật CrashFix mới hơn, lừa người dùng cài đặt một tiện ích mở rộng trình duyệt độc hại để bắt đầu lây nhiễm," Trend Micro cho biết. "Malware này đặc biệt kiểm tra xem một hệ thống có thuộc một corporate domain hay không và xác định các công cụ bảo mật đã được cài đặt trước khi tiếp tục, cho thấy sự tập trung vào môi trường enterprise hơn là các trường hợp lây nhiễm cơ hội."
Chưa hết. Các chiến dịch KongTuke cũng đã được phát hiện sử dụng các bản ghi DNS TXT trong script ClickFix của chúng. Các bản ghi DNS TXT này dàn dựng một lệnh để truy xuất và chạy một script PowerShell.
Các cuộc tấn công pastejacking kiểu ClickFix khác đã được phát hiện trong thực tế được liệt kê dưới đây:
- Sử dụng các trang web bị xâm nhập để hiển thị các chiêu trò cho các trang ClickFix giả mạo lỗi "Aw Snap!" của Google hoặc các bản cập nhật trình duyệt để phân phối droppers, downloaders và các tiện ích mở rộng trình duyệt độc hại.
- Sử dụng các mồi nhử ClickFix được phục vụ qua các liên kết malvertising/phishing để điều hướng người dùng đến các trang độc hại dẫn đến việc triển khai Remcos RAT.
- Sử dụng một mồi nhử xác minh CAPTCHA giả trên một trang web lừa đảo quảng bá chiêu trò airdrop $TEMU để kích hoạt thực thi một lệnh PowerShell chạy mã Python tùy ý được truy xuất từ một máy chủ.
- Sử dụng một trang web giả mạo quảng cáo CleanMyMac để lừa người dùng chạy một lệnh Terminal độc hại nhằm triển khai một macOS stealer có tên SHub Stealer và backdoor các cryptocurrency wallets như Exodus, Atomic Wallet, Ledger Wallet và Ledger Live để đánh cắp các seed phrases.
- Sử dụng một mồi nhử xác minh CAPTCHA giả trên các trang web bị xâm nhập để chạy một script PowerShell phân phối một MSI dropper, sau đó cài đặt runtime Deno JavaScript để thực thi mã bị làm rối mà cuối cùng cài đặt CastleRAT trong bộ nhớ bằng một Python loader có tên CastleLoader.
Trong một báo cáo được công bố vào tuần trước, Rapid7 tiết lộ rằng các trang web WordPress đáng tin cậy cao đang bị xâm nhập như một phần của chiến dịch đang diễn ra, rộng khắp được thiết kế để inject một implant ClickFix giả mạo thử thách xác minh con người của Cloudflare. Hoạt động này đã diễn ra từ tháng 12 năm 2025.
Hơn 250 trang web bị nhiễm đã được xác định ở ít nhất 12 quốc gia, bao gồm Úc, Brazil, Canada, Cộng hòa Séc, Đức, Ấn Độ, Israel, Singapore, Slovakia, Thụy Sĩ, Vương quốc Anh và Hoa Kỳ. Các trang web này được xác định là các hãng tin khu vực và doanh nghiệp địa phương.
Mục tiêu cuối cùng của các mồi nhử này là xâm nhập các hệ thống Windows bằng các họ stealer malware khác nhau: StealC Stealer, một phiên bản cải tiến của Vidar Stealer, một .NET stealer được mệnh danh là Impure Stealer và một C++ stealer được gọi là VodkaStealer. Dữ liệu bị đánh cắp sau đó có thể đóng vai trò là bệ phóng cho hành vi trộm cắp tài chính hoặc các cuộc tấn công tiếp theo.
Phương pháp chính xác mà các trang WordPress bị hack hiện chưa được biết. Tuy nhiên, người ta nghi ngờ nó liên quan đến việc khai thác các lỗ hổng bảo mật mới được tiết lộ trong các plugin và themes của WordPress, các admin credentials bị đánh cắp trước đó, hoặc các giao diện wp-admin có thể truy cập công khai.
Để chống lại mối đe dọa, quản trị viên trang web được khuyên nên giữ cho trang web của họ được cập nhật, sử dụng mật khẩu mạnh cho quyền truy cập quản trị, thiết lập two-factor authentication (2FA) và quét các tài khoản quản trị đáng ngờ.
"Biện pháp phòng thủ tốt nhất cho các cá nhân duyệt web là luôn thận trọng, duy trì tư duy zero-trust, sử dụng phần mềm bảo mật uy tín và cập nhật các chiến thuật phishing và ClickFix mới nhất được sử dụng bởi các malicious actors," Rapid7 cho biết. "Một bài học quan trọng từ báo cáo này là ngay cả các trang web đáng tin cậy cũng có thể bị xâm nhập và vũ khí hóa để chống lại những khách truy cập không nghi ngờ."
