Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới kết hợp các CAPTCHA giả theo kiểu ClickFix với một tập lệnh Microsoft Application Virtualization (App-V) đã ký để phát tán mã độc đánh cắp thông tin có tên Amatera.
"Thay vì khởi chạy PowerShell trực tiếp, kẻ tấn công sử dụng tập lệnh này để kiểm soát cách quá trình thực thi bắt đầu và để tránh các đường dẫn thực thi phổ biến, dễ nhận biết hơn," các nhà nghiên cứu Jack Patrick và Sam Decker của Blackpoint cho biết trong một báo cáo được công bố vào tuần trước.
Khi làm như vậy, ý tưởng là biến tập lệnh App-V thành một tệp nhị phân Living-off-the-land (LotL) đóng vai trò trung gian thực thi PowerShell thông qua một thành phần Microsoft đáng tin cậy để che giấu hoạt động độc hại.
Điểm khởi đầu của cuộc tấn công là một lời nhắc xác minh CAPTCHA giả mạo nhằm lừa người dùng dán và thực thi một lệnh độc hại trên hộp thoại Windows Run. Nhưng đây là nơi cuộc tấn công khác biệt so với các cuộc tấn công ClickFix truyền thống.
Lệnh được cung cấp, thay vì gọi PowerShell trực tiếp, đã lạm dụng "SyncAppvPublishingServer.vbs", một tập lệnh Visual Basic Script đã ký liên quan đến App-V để truy xuất và thực thi một bộ tải trong bộ nhớ từ một máy chủ bên ngoài bằng cách sử dụng "wscript.exe".
Điều đáng chú ý là việc lạm dụng "SyncAppvPublishingServer.vbs" không phải là mới. Vào năm 2022, hai nhóm tác nhân đe dọa khác nhau từ Trung Quốc và Triều Tiên, được theo dõi là DarkHotel và BlueNoroff, đã được quan sát thấy lợi dụng LOLBin exploit để thực thi một tập lệnh PowerShell một cách lén lút. Nhưng đây là lần đầu tiên nó được quan sát thấy trong các cuộc tấn công ClickFix.
"Kẻ thù có thể lạm dụng SyncAppvPublishingServer.vbs để bỏ qua các hạn chế thực thi PowerShell và né tránh các biện pháp đối phó phòng thủ bằng cách 'Living-off-the-land'," MITRE lưu ý trong khuôn khổ ATT&CK của mình. "Việc thực thi qua Proxy có thể hoạt động như một giải pháp thay thế đáng tin cậy/đã ký để trực tiếp gọi 'powershell.exe'."
Việc sử dụng tập lệnh App-V cũng rất quan trọng vì giải pháp ảo hóa này chỉ được tích hợp vào các phiên bản Enterprise và Education của Windows 10 và Windows 11, cùng với các phiên bản Windows Server hiện đại. Nó không có sẵn cho các bản cài đặt Windows Home hoặc Pro.
Trong các hệ điều hành Windows mà App-V không có hoặc không được bật, việc thực thi lệnh sẽ thất bại hoàn toàn. Điều này cũng cho thấy rằng các hệ thống do doanh nghiệp quản lý có thể là mục tiêu chính của chiến dịch.
Bộ tải bị che giấu chạy các kiểm tra để đảm bảo rằng nó không được chạy trong môi trường sandbox, sau đó tiến hành lấy dữ liệu cấu hình từ một tệp Google Calendar công khai (ICS), về cơ bản biến một dịch vụ bên thứ ba đáng tin cậy thành một dead drop resolver.
"Bằng cách ngoại hóa cấu hình theo cách này, tác nhân có thể nhanh chóng xoay vòng hạ tầng hoặc điều chỉnh các thông số phân phối mà không cần triển khai lại các giai đoạn đầu của chuỗi, giảm ma sát vận hành và kéo dài thời gian tồn tại của vector lây nhiễm ban đầu," các nhà nghiên cứu chỉ ra.
Việc phân tích cú pháp tệp sự kiện lịch dẫn đến việc truy xuất các giai đoạn tải bổ sung, bao gồm một tập lệnh PowerShell hoạt động như một bộ tải trung gian để thực thi giai đoạn tiếp theo, một tập lệnh PowerShell khác, trực tiếp trong bộ nhớ. Bước này, đến lượt nó, dẫn đến việc truy xuất một hình ảnh PNG từ các miền như "gcdnb.pbrd[.]co" và "iili[.]io" thông qua WinINet APIs che giấu một payload PowerShell được mã hóa và nén.
Tập lệnh thu được được giải mã, giải nén GZip trong bộ nhớ và chạy bằng Invoke-Expression, cuối cùng dẫn đến việc thực thi một shellcode loader được thiết kế để khởi chạy Amatera Stealer.
"Điều làm cho chiến dịch này trở nên thú vị không phải là bất kỳ thủ thuật đơn lẻ nào, mà là cách mọi thứ được tính toán kỹ lưỡng khi xâu chuỗi lại với nhau," Blackpoint kết luận. "Mỗi giai đoạn củng cố giai đoạn trước, từ yêu cầu tương tác thủ công của người dùng, đến xác thực trạng thái clipboard, đến việc kéo cấu hình trực tiếp từ một dịch vụ bên thứ ba đáng tin cậy."
"Kết quả là một luồng thực thi chỉ tiến triển khi nó diễn ra (gần như) chính xác như kẻ tấn công mong đợi, điều này làm cho cả việc kích hoạt tự động và phân tích thông thường trở nên khó khăn hơn đáng kể."
Sự phát triển của ClickFix: JackFix, CrashFix và GlitchFix
Tiết lộ này được đưa ra khi ClickFix đã trở thành một trong những phương pháp truy cập ban đầu được sử dụng rộng rãi nhất trong năm qua, chiếm 47% các cuộc tấn công được Microsoft quan sát thấy.
Các chiến dịch ClickFix gần đây đã nhắm mục tiêu vào những người tạo nội dung mạng xã hội bằng cách tuyên bố họ đủ điều kiện nhận huy hiệu xác minh miễn phí, hướng dẫn họ qua video sao chép authentication tokens từ cookie trình duyệt của họ vào một biểu mẫu giả để hoàn tất quá trình xác minh được cho là. Video nhúng cũng thông báo cho người dùng "không đăng xuất trong ít nhất 24 giờ" để giữ cho authentication tokens hợp lệ.
Chiến dịch, hoạt động từ ít nhất tháng 9 năm 2025, ước tính đã sử dụng 115 web pages trên chuỗi tấn công và tám exfiltration endpoints, theo Hunt.io. Các mục tiêu chính của hoạt động bao gồm người tạo nội dung, các trang kiếm tiền và các doanh nghiệp tìm kiếm xác minh, với mục tiêu cuối cùng là tạo điều kiện cho việc chiếm đoạt tài khoản sau khi đánh cắp token.
"Phòng thủ chống lại kỹ thuật ClickFix đặc biệt khó khăn vì chuỗi tấn công được xây dựng gần như hoàn toàn dựa trên các hành động hợp pháp của người dùng và việc lạm dụng các công cụ hệ thống đáng tin cậy," Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, cho biết trong một báo cáo tháng trước. "Không giống như malware truyền thống, ClickFix biến người dùng thành vector truy cập ban đầu, khiến cuộc tấn công trông vô hại từ góc độ phòng thủ endpoint."
ClickFix cũng liên tục phát triển, sử dụng các biến thể như JackFix và CrashFix để lừa nạn nhân tự lây nhiễm máy tính của mình. Trong khi các nhà điều hành sử dụng một số phương pháp để cố gắng thuyết phục mục tiêu thực hiện command execution, sự phổ biến ngày càng tăng của kỹ thuật kỹ thuật xã hội này đã mở đường cho các ClickFix builders được quảng cáo trên các diễn đàn hacker với giá từ 200 đến 1.500 USD mỗi tháng.
Mới nhất gia nhập vào bức tranh mối đe dọa này là ErrTraffic, một traffic distribution system (TDS) được thiết kế đặc biệt cho các chiến dịch giống ClickFix bằng cách gây ra các trang web bị xâm nhập được tiêm JavaScript độc hại bị glitch và sau đó đề xuất một bản sửa lỗi để giải quyết vấn đề không tồn tại. Kỹ thuật này đã được đặt tên mã là GlitchFix.
Malware-as-a-service (MaaS) này hỗ trợ ba chế độ phân phối tệp khác nhau liên quan đến việc sử dụng các cảnh báo cập nhật trình duyệt giả, hộp thoại giả "system font required" và các lỗi phông chữ hệ thống bị thiếu giả mạo để kích hoạt việc thực thi các lệnh độc hại. ErrTraffic bị chặn rõ ràng không cho chạy trên các máy tính ở các quốc gia Commonwealth of Independent States (CIS).
"ErrTraffic không chỉ hiển thị một lời nhắc cập nhật giả, nó còn chủ động làm hỏng trang cơ bản để khiến nạn nhân tin rằng có điều gì đó thực sự không ổn," Censys cho biết. "Nó cũng áp dụng các CSS transformations làm cho mọi thứ trông bị hỏng."
ClickFix cũng đã được các tác nhân đe dọa đằng sau chiến dịch ClearFake áp dụng, được biết đến là lây nhiễm các trang web bằng các mồi nhử cập nhật trình duyệt web giả mạo trên WordPress bị xâm nhập để phân phối malware. Việc ClearFake sử dụng ClickFix lần đầu tiên được ghi nhận vào tháng 5 năm 2024, tận dụng các CAPTCHA challenges để phân phối Emmenhtal Loader (hay còn gọi là PEAKLIGHT), sau đó thả Lumma Stealer.
Chuỗi tấn công cũng sử dụng một kỹ thuật đã biết khác được gọi là EtherHiding để truy xuất mã JavaScript giai đoạn tiếp theo bằng cách sử dụng smart contracts trên BNB Smart Chain (BSC) của Binance và cuối cùng tiêm CAPTCHA giả ClickFix lấy từ một smart contract khác vào trang web. Đồng thời, giai đoạn cuối tránh tái nhiễm các nạn nhân đã bị nhiễm.
Giống như trong trường hợp tấn công Amatera Stealer, lệnh ClickFix được sao chép vào clipboard lạm dụng "SyncAppvPublishingServer.vbs" để lấy payload cuối cùng được lưu trữ trên content delivery network (CDN) jsDelivr. Phân tích của Expel về chiến dịch ClearFake cho thấy có tới 147.521 hệ thống có khả năng đã bị nhiễm kể từ cuối tháng 8 năm 2025.
"Một trong nhiều yếu tố mà các sản phẩm bảo mật sử dụng để quyết định xem hành vi có độc hại hay không là liệu hành vi đó có đang được thực hiện bởi một ứng dụng đáng tin cậy hay không," nhà nghiên cứu bảo mật Marcus Hutchins cho biết. "Trong trường hợp này, 'SyncAppvPublishingServer.vbs' là một thành phần Windows mặc định và tệp chỉ có thể được sửa đổi bởi TrustedInstaller (một tài khoản hệ thống đặc quyền cao được hệ điều hành sử dụng nội bộ). Do đó, bản thân tệp và hành vi của nó thường sẽ không bị nghi ngờ."
"Các tổ chức và EDR không có khả năng chặn hoàn toàn 'SyncAppvPublishingServer.vbs' khởi chạy PowerShell ở chế độ ẩn, vì điều đó sẽ ngăn thành phần này được sử dụng cho mục đích của nó. Do đó, bằng cách lạm dụng lỗi command line injection trong 'SyncAppvPublishingServer.vbs,' kẻ tấn công có thể thực thi mã tùy ý thông qua một thành phần hệ thống đáng tin cậy."
Expel cũng mô tả chiến dịch là rất tinh vi và rất khó bị phát hiện, do việc sử dụng thực thi mã PowerShell trong bộ nhớ, kết hợp với việc dựa vào blockchain và các CDNs phổ biến, do đó đảm bảo rằng nó không giao tiếp với bất kỳ hạ tầng nào không phải là một dịch vụ hợp pháp.
Censys đã mô tả hệ sinh thái CAPTCHA giả mạo rộng lớn hơn là một "mẫu lạm dụng bị phân mảnh, thay đổi nhanh chóng sử dụng hạ tầng web đáng tin cậy làm bề mặt phân phối," trong đó các thách thức kiểu Cloudflare đóng vai trò là ống dẫn cho việc thực thi lệnh PowerShell, VB Scripts, MSI installers theo cơ chế clipboard-driven, và thậm chí chuyển giao cho các framework gốc trình duyệt như Matrix Push C2.
"Điều này phù hợp với một sự thay đổi rộng hơn sang Living Off the Web: tái sử dụng có hệ thống các giao diện theo chủ đề bảo mật, các quy trình làm việc được nền tảng cho phép và hành vi người dùng đã được điều kiện để phân phối malware," công ty quản lý bề mặt tấn công cho biết. "Kẻ tấn công không cần phải xâm phạm các dịch vụ đáng tin cậy; chúng thừa hưởng sự tin cậy bằng cách hoạt động bên trong các quy trình xác minh và trình duyệt quen thuộc mà người dùng và công cụ đã được đào tạo để chấp nhận."
