Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch độc hại nhắm mục tiêu vào các trang WordPress để thực hiện các cuộc tấn công tiêm mã độc JavaScript, được thiết kế để chuyển hướng người dùng đến các trang web lừa đảo.
Puja Srivastava, nhà nghiên cứu của Sucuri, cho biết trong một phân tích được công bố tuần trước: "Khách truy cập trang web nhận được nội dung bị tiêm nhiễm mã độc drive-by như xác minh Cloudflare giả mạo."
Công ty bảo mật trang web này cho biết họ đã bắt đầu điều tra sau khi một trong các trang WordPress của khách hàng phục vụ JavaScript đáng ngờ từ bên thứ ba cho khách truy cập trang, cuối cùng phát hiện ra rằng những kẻ tấn công đã đưa ra các sửa đổi độc hại vào một tệp liên quan đến theme ("functions.php").
Mã được chèn vào "functions.php" bao gồm các tham chiếu đến Google Ads, có lẽ là một nỗ lực để né tránh phát hiện. Nhưng, trên thực tế, nó hoạt động như một remote loader bằng cách gửi yêu cầu HTTP POST đến domain "brazilc[.]com," và domain này sẽ phản hồi bằng một payload động bao gồm hai thành phần -
- Một tệp JavaScript được lưu trữ trên máy chủ từ xa ("porsasystem[.]com"), tính đến thời điểm viết bài, đã được tham chiếu trên 17 trang web và chứa mã để thực hiện chuyển hướng trang.
- Một đoạn mã JavaScript tạo một iframe ẩn, kích thước 1x1 pixel, bên trong đó nó tiêm mã mô phỏng các tài nguyên Cloudflare hợp pháp như "cdn-cgi/challenge-platform/scripts/jsd/main.js" – một API là một phần cốt lõi của nền tảng phát hiện bot và thử thách của họ.
Điều đáng chú ý là domain "porsasystem[.]com" đã bị gắn cờ là một phần của hệ thống phân phối lưu lượng truy cập (TDS) có tên Kongtuke (còn gọi là 404 TDS, Chaya_002, LandUpdate808 và TAG-124).
Theo thông tin được chia sẻ bởi một tài khoản tên "monitorsg" trên Mastodon vào ngày 19 tháng 9 năm 2025, chuỗi lây nhiễm bắt đầu khi người dùng truy cập một trang web bị xâm nhập, dẫn đến việc thực thi "porsasystem[.]com/6m9x.js," sau đó dẫn đến "porsasystem[.]com/js.php" để cuối cùng đưa nạn nhân đến các trang kiểu ClickFix để phân phối malware.
Những phát hiện này minh họa sự cần thiết phải bảo mật các trang WordPress và đảm bảo rằng các plugins, themes và phần mềm trang web được cập nhật, thực thi mật khẩu mạnh, quét các trang web để tìm các bất thường và các tài khoản administrator không mong muốn được tạo để duy trì quyền truy cập liên tục ngay cả sau khi malware được phát hiện và loại bỏ.
Tạo các trang ClickFix bằng IUAM ClickFix Generator
Thông tin này được đưa ra khi Palo Alto Networks Unit 42 đã trình bày chi tiết một phishing kit có tên IUAM ClickFix Generator cho phép kẻ tấn công lây nhiễm malware cho người dùng bằng cách tận dụng kỹ thuật social engineering ClickFix và tạo ra các trang đích có thể tùy chỉnh bằng cách mô phỏng các thử thách xác minh trình duyệt thường được sử dụng để chặn lưu lượng truy cập tự động.
Amer Elsad, nhà nghiên cứu bảo mật, cho biết: "Công cụ này cho phép các threat actor tạo ra các trang phishing có khả năng tùy chỉnh cao, mô phỏng hành vi thách thức-phản hồi của một trang xác minh trình duyệt thường được triển khai bởi Content Delivery Networks (CDNs) và các nhà cung cấp bảo mật đám mây để chống lại các mối đe dọa tự động." "Giao diện giả mạo được thiết kế để trông hợp pháp đối với nạn nhân, làm tăng hiệu quả của mồi nhử."
Các trang phishing tùy chỉnh cũng có khả năng thao tác clipboard, một bước quan trọng trong cuộc tấn công ClickFix, cũng như phát hiện operating system được sử dụng để điều chỉnh chuỗi lây nhiễm và phân phối malware tương thích.
Trong ít nhất hai trường hợp khác nhau, các threat actor đã bị phát hiện sử dụng các trang được tạo bằng kit này để triển khai các information stealer như DeerStealer và Odyssey Stealer, trong đó Odyssey Stealer được thiết kế để nhắm mục tiêu vào các hệ thống Apple macOS.
Sự xuất hiện của IUAM ClickFix Generator bổ sung vào cảnh báo trước đó từ Microsoft về sự gia tăng của các trình tạo ClickFix thương mại trên các diễn đàn ngầm từ cuối năm 2024. Một ví dụ đáng chú ý khác về phishing kit đã tích hợp tính năng này là Impact Solutions.
Microsoft đã lưu ý vào tháng 8 năm 2025: "Các kit này cung cấp khả năng tạo các trang đích với nhiều loại mồi nhử khác nhau, bao gồm cả Cloudflare. Chúng cũng cung cấp khả năng xây dựng các lệnh độc hại mà người dùng sẽ dán vào hộp thoại Windows Run. Các kit này tuyên bố đảm bảo bỏ qua antivirus và web protection (một số thậm chí còn hứa hẹn rằng chúng có thể bỏ qua Microsoft Defender SmartScreen), cũng như payload persistence."
Không cần phải nói, những công cụ này tiếp tục làm giảm rào cản gia nhập cho các cybercriminal, cho phép họ thực hiện các cuộc tấn công đa nền tảng phức tạp trên quy mô lớn mà không cần nhiều nỗ lực hay chuyên môn kỹ thuật.
ClickFix trở nên lén lút thông qua Cache Smuggling
Những phát hiện này cũng theo sau việc phát hiện một chiến dịch mới đã đổi mới công thức tấn công ClickFix bằng cách sử dụng một kỹ thuật lén lút được gọi là cache smuggling để ẩn mình thay vì tải xuống bất kỳ tệp độc hại nào trên máy chủ mục tiêu một cách rõ ràng.
Marcus Hutchins, Principal Threat Researcher của Expel, cho biết: "Chiến dịch này khác với các biến thể ClickFix trước đây ở chỗ script độc hại không tải xuống bất kỳ tệp nào hoặc giao tiếp với internet. Điều này đạt được bằng cách sử dụng cache của trình duyệt để lưu trữ dữ liệu tùy ý vào máy của người dùng một cách chủ động."
Trong cuộc tấn công được công ty cybersecurity ghi nhận, trang có chủ đề ClickFix giả dạng là Fortinet VPN Compliance Checker, sử dụng các chiến thuật FileFix để đánh lừa người dùng khởi chạy Windows File Explorer và dán một lệnh độc hại vào thanh địa chỉ để kích hoạt thực thi payload.
Lệnh ẩn được thiết kế để chạy một PowerShell script thông qua conhost.exe. Điều làm cho script này khác biệt là nó không tải xuống bất kỳ malware bổ sung nào hoặc giao tiếp với một attacker-controlled server. Thay vào đó, nó thực thi một payload được obfuscate, giả dạng là một hình ảnh JPEG và đã được lưu vào cache bởi trình duyệt khi người dùng truy cập trang phishing.
Hutchins giải thích: "Cả trang web lẫn PowerShell script đều không tải xuống bất kỳ tệp nào một cách rõ ràng. Bằng cách đơn giản cho phép trình duyệt cache hình ảnh 'giả mạo', malware có thể đưa toàn bộ tệp zip vào hệ thống cục bộ mà không cần lệnh PowerShell thực hiện bất kỳ yêu cầu web nào."
"Ý nghĩa của kỹ thuật này là đáng lo ngại, vì cache smuggling có thể là một cách để né tránh các biện pháp bảo vệ lẽ ra sẽ bắt được các tệp độc hại khi chúng được tải xuống và thực thi. Một tệp 'image/jpeg' có vẻ vô hại được tải xuống, sau đó nội dung của nó được giải nén và thực thi thông qua một PowerShell command ẩn trong một mồi nhử phishing ClickFix."
