ClickFix hacker giả danh công ty đầu tư mạo hiểm tấn công người dùng tiền mã hóa, QuickLens cố ý chiếm đoạt và phơi bày

Công ty an ninh mạng Moonlock Lab đã phát hành một báo cáo vào thứ Hai, tiết lộ các phương pháp tấn công mới nhất của tin tặc tiền điện tử tập trung vào phương pháp “ClickFix”: những kẻ lừa đảo cải trang thành các công ty đầu tư mạo hiểm giả mạo như SolidBit và MegaBit để liên hệ với những người làm trong lĩnh vực tiền điện tử trên LinkedIn nhằm cung cấp cơ hội hợp tác, cuối cùng dẫn dụ nạn nhân tự thực thi các lệnh độc hại trên thiết bị đầu cuối máy tính để đánh cắp tài sản tiền điện tử.

Phân tích phương pháp tấn công ClickFix: biến nạn nhân thành thủ phạm của cuộc tấn công

Sự đổi mới cốt lõi của các cuộc tấn công ClickFix nằm ở việc hoàn toàn phá vỡ các con đường lây nhiễm của phần mềm độc hại truyền thống. Quá trình tấn công thường gồm các bước sau:

Giai đoạn 1 (Nhân viên xã hội qua LinkedIn): Tin tặc liên hệ với người dùng mục tiêu dưới danh nghĩa các công ty đầu tư mạo hiểm giả mạo, cung cấp các cơ hội hợp tác kinh doanh có vẻ hợp pháp và xây dựng niềm tin ban đầu.

Giai đoạn 2 (Liên kết video giả mạo): Hướng mục tiêu đến các liên kết lừa đảo được ngụy trang dưới dạng Zoom hoặc Google Meet, dẫn đến một “trang sự kiện” giả mạo.

Giai đoạn 3 (Chiếm quyền khay nhớ tạm): Trang hiển thị hộp xác minh Cloudflare giả mạo “Tôi không phải là robot”, khi nhấp vào, các lệnh độc hại sẽ được âm thầm sao chép vào khay nhớ tạm của người dùng.

Giai đoạn 4 (Tự thực thi): Nhắc người dùng mở thiết bị đầu cuối và dán “mã xác minh”, thực chất là thực thi lệnh tấn công.

Nhóm nghiên cứu của Moonlock Lab chỉ ra: “Hiệu quả của công nghệ ClickFix nằm ở chỗ nó biến chính nạn nhân thành cơ chế thực thi cuộc tấn công. Khi nạn nhân tự dán và thực thi lệnh, kẻ tấn công đã bỏ qua các biện pháp phòng vệ mà ngành công nghiệp bảo mật đã xây dựng trong nhiều năm — không cần khai thác lỗ hổng hay kích hoạt hành vi tải xuống đáng ngờ.”

Chi tiết vụ việc chiếm quyền QuickLens và danh sách các chức năng độc hại

Trường hợp bị chiếm quyền của QuickLens thể hiện một dạng tấn công khác — tấn công chuỗi cung ứng nhằm vào các người dùng hợp pháp hiện có:

Ngày 1 tháng 2: Gia hạn quyền sở hữu của tiện ích mở rộng QuickLens (chuyển quyền sở hữu)

Hai tuần sau đó: Chủ sở hữu mới phát hành bản cập nhật chứa mã độc

Ngày 23 tháng 2: Nhà nghiên cứu bảo mật Tuckner công khai tiết lộ rằng tiện ích mở rộng đã bị gỡ khỏi Chrome Web Store

Danh sách các chức năng độc hại:

· Tìm kiếm và đánh cắp dữ liệu ví tiền điện tử cùng cụm từ hạt giống (Seed Phrase)

· Thu thập nội dung hộp thư Gmail của người dùng

· Đánh cắp dữ liệu của kênh YouTube

· Thu thập thông tin đăng nhập và dữ liệu thanh toán khi người dùng nhập vào các biểu mẫu web

Theo báo cáo của eSecurity Planet, tiện ích mở rộng bị chiếm quyền này đã triển khai cả mô-đun tấn công ClickFix lẫn các công cụ đánh cắp dữ liệu khác, cho thấy các tác nhân đằng sau có khả năng phối hợp nhiều công cụ để tấn công cùng lúc.

Bối cảnh mối đe dọa rộng hơn của ClickFix

Moonlock Lab chỉ ra rằng công nghệ ClickFix đã nhanh chóng phổ biến trong các hoạt động đe dọa kể từ năm 2025, lợi thế cốt lõi của nó nằm ở việc khai thác hành vi của con người chứ không dựa vào lỗ hổng phần mềm, từ đó cơ bản phá vỡ các cơ chế phát hiện của các công cụ bảo mật truyền thống.

Bộ phận tình báo mối đe dọa của Microsoft đã cảnh báo vào tháng 8 năm 2025 rằng họ liên tục theo dõi các hoạt động tấn công hàng ngày nhằm vào hàng nghìn doanh nghiệp và thiết bị đầu cuối trên toàn cầu. Trong báo cáo tháng 7 năm 2025, công ty tình báo mối đe dọa mạng Unit42 xác nhận rằng ClickFix đã ảnh hưởng đến nhiều ngành như sản xuất, bán buôn, bán lẻ, chính quyền các cấp và ngành năng lượng, vượt xa phạm vi của lĩnh vực tiền điện tử đơn lẻ.

Các câu hỏi thường gặp

Tại sao các cuộc tấn công ClickFix có thể vượt qua các phần mềm chống virus và bảo mật?

Logic thiết kế của phần mềm chống virus truyền thống là nhận diện và chặn các chương trình đáng ngờ tự thực thi. Điểm đột phá của ClickFix nằm ở chỗ nó biến “con người” thành tác nhân thực thi — nạn nhân chủ động nhập và thực thi lệnh, thay vì phần mềm độc hại tự cấy vào hệ thống. Điều này khiến các công cụ bảo mật dựa trên hành vi khó phát hiện, vì hành vi thực thi trông giống như hoạt động bình thường của người dùng.

Làm thế nào để nhận biết các cuộc tấn công xã hội kiểu ClickFix?

Các dấu hiệu nhận biết chính gồm: nhận được đề nghị hợp tác từ các tài khoản LinkedIn không quen biết, sau khi nhấp vào liên kết cuộc họp bị yêu cầu nhập “mã xác minh” hoặc “bước sửa chữa”, bất kỳ hướng dẫn nào yêu cầu mở thiết bị đầu cuối (dấu nhắc lệnh) và dán mã, cùng các giao diện xác thực giả mạo như Cloudflare hoặc CAPTCHA. Nguyên tắc bảo mật là: các dịch vụ hợp pháp không yêu cầu người dùng thực thi lệnh trong thiết bị đầu cuối để xác thực.

Người dùng QuickLens nên làm gì ngay bây giờ?

Nếu bạn đã cài đặt tiện ích mở rộng QuickLens, hãy xóa nó khỏi trình duyệt ngay lập tức, thay thế tất cả các ví tiền điện tử có thể đã bị ảnh hưởng (tạo cụm từ hạt giống mới và chuyển tiền vào ví mới), đồng thời đổi tất cả mật khẩu Gmail và các tài khoản liên quan. Nên thường xuyên kiểm tra các tiện ích mở rộng đã cài đặt và cảnh giác với các tiện ích gần đây có thay đổi quyền sở hữu.