Hacker đang lợi dụng pop-up reCAPTCHA giả mạo để đánh lừa người dùng tự chạy lệnh độc hại, dẫn đến việc cài đặt Amatera Stealer và NetSupport RAT.
Các chiến dịch ClickFix đang gia tăng mạnh, theo eSentire, với hàng loạt website giả mạo, CAPTCHA giả và kỹ thuật che giấu mã độc tinh vi, mở rộng phạm vi tấn công vào ví tiền điện tử và dữ liệu trình duyệt.
- Hacker dùng reCAPTCHA và Cloudflare Turnstile giả mạo để dụ nạn nhân tự chạy lệnh độc hại.
- Amatera Stealer là phiên bản nâng cấp của ACR Stealer, với khả năng đánh cắp dữ liệu mở rộng và kỹ thuật né tránh tiên tiến.
- Các chiến dịch dùng ClickFix, loader PowerShell đa tầng và bộ kit Cephas để vượt qua hệ thống phòng vệ.
Fake reCAPTCHA đang trở thành công cụ chính của chiến dịch ClickFix
Theo ghi nhận của eSentire, tội phạm mạng đang đẩy mạnh việc giả mạo các cửa sổ kiểm tra bảo mật như reCAPTCHA nhằm dụ người dùng tự chạy lệnh độc hại qua cửa sổ Windows Run.
Các cuộc tấn công ClickFix cho thấy mức độ tinh vi ngày càng cao, khi hacker dựng các website và pop-up y hệt trang chính thức để tạo cảm giác tin cậy. Những giao diện giả này hướng dẫn người dùng “khắc phục lỗi” bằng cách chạy lệnh độc hại, mở đường cho Amatera Stealer và NetSupport RAT xâm nhập hệ thống. Cả hai công cụ này vốn là phần mềm hợp pháp nhưng bị lạm dụng để chiếm quyền truy cập từ xa.
Trước đó, TRU của eSentire ghi nhận sự leo thang mạnh mẽ trong tháng 11, khi nhiều chiến dịch ClickFix nhắm đến người dùng Windows bằng cách buộc họ thực thi thủ công mã độc qua hộp thoại Run. Cách tiếp cận này giúp hacker vượt qua nhiều lớp bảo mật tự động.
Amatera Stealer thường được triển khai đầu tiên. Sau khi hệ thống bị xâm nhập, NetSupport Manager sẽ được cài đặt tiếp theo, giúp tội phạm mạng điều khiển máy tính nạn nhân như đang ngồi tại chỗ. Đây là điểm khiến phương thức này nguy hiểm hơn các chiến dịch phishing thông thường.
Trong nhiều trường hợp, các website giả mạo Booking.com và Cloudflare đã được phát hiện dẫn hướng nạn nhân đến các CAPTCHA giả với mục tiêu khiến họ chạy lệnh độc hại. Cơ chế này hoạt động nhất quán trong nhiều chiến dịch khác nhau, bao gồm SmartApeSG, HANEYMANEY và ZPHP.
Amatera Stealer là phiên bản nâng cấp nguy hiểm của ACR Stealer
Amatera Stealer được xác định là bản kế nhiệm trực tiếp của ACR Stealer sau khi mã nguồn ACR được bán vào giữa năm 2024.
“Amatera cung cấp cho các nhóm tấn công khả năng thu thập dữ liệu rất rộng, nhắm vào ví tiền điện tử, trình duyệt, ứng dụng nhắn tin, FTP và email. Nó sử dụng chiến lược né tránh nâng cao như WoW64 SysCalls để vượt qua sandbox, Anti-Virus và EDR.”
– eSentire, báo cáo mối đe dọa
ACR Stealer (AcridRain) từng xuất hiện như một dịch vụ malware-as-a-service trong năm 2024, được nhiều nhóm thuê theo gói. Khi nhà phát triển SheldIO bán mã nguồn và tạm dừng kinh doanh, cộng đồng hacker vẫn khẳng định việc phát triển chưa dừng lại. Những quan sát gần đây cho thấy Amatera chính là phiên bản tái cấu trúc với khả năng mở rộng và kỹ thuật né tránh tốt hơn.
Theo Proofpoint, Amatera đã xuất hiện từ tháng 6 và được cung cấp theo mô hình thuê bao từ 199 USD mỗi tháng đến 1.499 USD mỗi năm. Điều này cho thấy phần mềm đánh cắp dữ liệu này đang được thương mại hóa rất mạnh trong cộng đồng tội phạm mạng.
Amatera được viết bằng C++, có khả năng thu thập mật khẩu lưu, lịch sử duyệt web, thông tin thẻ, dữ liệu ví tiền điện tử và nhiều loại tệp. Danh sách trình duyệt bị nhắm đến bao gồm Chrome, Edge, Brave, Opera, Firefox, cùng các nền tảng chuyên dụng như Tor Browser và Thunderbird.
Không chỉ vậy, Amatera còn áp dụng kỹ thuật né tránh phân tích động bằng việc chèn các tầng mã PowerShell phức tạp, khiến quá trình phân tích trở nên khó khăn hơn. Một trong các pha giải mã sử dụng phương thức XOR trên chuỗi “AMSI_RESULT_NOT_DETECTED” nhằm đánh lừa chuyên gia phân tích.
PowerShell loader đa tầng giúp Amatera và nhiều mã độc khác lẩn tránh hiệu quả
Các loader PowerShell mà eSentire phân tích thể hiện nhiều lớp mã hóa và giải mã để che giấu hành vi thật sự của mã độc.
Theo eSentire, một số loader giải mã payload tiếp theo thông qua XOR, trong khi các tầng mã khác cố tình gây nhiễu nhằm phá vỡ quá trình phân tích của hệ thống sandbox. Đây là lý do loader này không chỉ được dùng cho Amatera mà còn triển khai Lumma, Vidar hoặc thậm chí NetSupport Manager trực tiếp.
Nhiều mẫu mã độc do eSentire thu thập không chứa cấu hình cần thiết để chạy đủ các tầng loader, cho thấy hacker có thể tùy chỉnh mức độ phức tạp theo mục tiêu hoặc năng lực phòng vệ của nạn nhân.
Ngoài ra, các chiến dịch email giả mạo với tệp Visual Basic Script đóng giả hóa đơn cũng được ghi nhận. Khi người dùng mở file, batch script sẽ kích hoạt PowerShell loader triển khai XWorm.
Các chiến dịch này thường nhắm vào người dùng doanh nghiệp, khi họ có xu hướng mở hóa đơn hoặc tài liệu đính kèm, tạo điều kiện để XWorm hoặc Amatera xâm nhập thông qua các bước lừa đảo có vẻ hợp lý.
Phishing kit Cephas mở rộng phạm vi tấn công bằng kỹ thuật chèn ký tự vô hình
Bộ kit Cephas đang được nhiều chiến dịch dùng để tạo ra trang phishing khó bị hệ thống tự động phát hiện nhờ cơ chế chèn ký tự vô hình.
“Bộ kit làm mờ mã bằng cách tạo ra các ký tự vô hình ngẫu nhiên trong mã nguồn giúp nó vượt qua bộ quét chống phishing và khiến quy tắc YARA khó đối chiếu chính xác.”
– Barracuda, báo cáo phân tích
Theo Barracuda, Cephas sử dụng kỹ thuật obfuscation nâng cao, chèn ký tự Unicode vô hình vào mã để làm sai lệch cấu trúc. Các ký tự này không ảnh hưởng đến giao diện trang nhưng khiến hệ thống phát hiện dựa trên signature trở nên vô hiệu.
Nhiều chiến dịch sử dụng Cephas được phát hiện trên các website bị tấn công, dẫn hướng nạn nhân đến trang xác minh Cloudflare giả hoặc các trang CAPTCHA lừa đảo nằm trong chuỗi ClickFix. Đây là một phần làm tăng quy mô tấn công trên diện rộng.
Sự kết hợp giữa CAPTCHA giả, loader đa tầng và bộ kit Cephas tạo nên một hệ sinh thái tấn công tinh vi, trong đó mỗi lớp đều được thiết kế để vượt qua cơ chế bảo vệ tự động. Điều này làm gia tăng nguy cơ đối với người dùng ví tiền điện tử và trình duyệt lưu nhiều thông tin nhạy cảm.
Với khả năng được tùy chỉnh và phân phối hàng loạt, Cephas tiếp tục mở rộng phạm vi lừa đảo của các chiến dịch phát tán Amatera, NetSupport và nhiều mã độc đánh cắp dữ liệu khác trên quy mô toàn cầu.
Những câu hỏi thường gặp
reCAPTCHA giả mạo hoạt động như thế nào?
Hacker tạo pop-up giống hệt CAPTCHA thật và yêu cầu người dùng chạy lệnh trong Windows Run, từ đó kích hoạt chuỗi mã độc. Kỹ thuật này giúp chúng vượt qua kiểm soát tự động.
Amatera Stealer nguy hiểm ra sao?
Amatera có thể đánh cắp mật khẩu, ví tiền điện tử, lịch sử duyệt web và nhiều dữ liệu nhạy cảm, đồng thời lẩn tránh AV và EDR bằng kỹ thuật né tránh nâng cao.
NetSupport RAT bị lạm dụng như thế nào?
Mặc dù là công cụ hợp pháp, NetSupport bị hacker sử dụng để giành quyền điều khiển máy tính từ xa như đang ngồi trực tiếp tại thiết bị nạn nhân.
Cephas giúp gian lận phishing ra sao?
Cephas chèn ký tự vô hình trong mã, khiến hệ thống quét tự động không nhận diện được mẫu phishing truyền thống.
Làm sao để tránh bị lừa bởi CAPTCHA giả?
Không chạy bất kỳ lệnh nào từ các trang cảnh báo lạ, kiểm tra kỹ URL và chỉ xác minh CAPTCHA từ miền chính thức của dịch vụ bạn đang truy cập.
