Tội phạm mạng đã nhanh chóng chuyển sang một kỹ thuật lẩn tránh mới sau đợt trấn áp gần đây của Microsoft đối với các tệp đính kèm email độc hại. Chỉ vài tuần sau khi Outlook bắt đầu chặn các tệp Đồ họa vectơ có thể mở rộng (SVG) nội tuyến, những kẻ tấn công hiện đang ẩn phần mềm độc hại bên trong dữ liệu pixel của hình ảnh Đồ họa mạng di động (PNG), một phương pháp được gọi là steganography.
Các nhà nghiên cứu bảo mật tại Huntress đã xác định sự thay đổi này là một phần của chiến dịch”ClickFix”rộng hơn, sử dụng kỹ thuật xã hội để vượt qua các biện pháp bảo vệ trình duyệt. Bằng cách nhúng mã được mã hóa vào các kênh màu cụ thể của những hình ảnh dường như vô hại, tác nhân đe dọa có thể trốn tránh các công cụ phát hiện tiêu chuẩn quét các mối đe dọa dựa trên tập lệnh.
Mặc dù có “Chiến dịch Endgame”, một hành động phối hợp thực thi pháp luật nhắm vào cơ sở hạ tầng mạng botnet vào đầu tháng này, chiến dịch này vẫn hoạt động tích cực. Các miền đang hoạt động lưu trữ mồi nhử dựa trên PNG mới tiếp tục phát tán công cụ đánh cắp thông tin Rhadamanthys, cho thấy khả năng phục hồi của nhóm trước các nỗ lực triệt phá.
Từ tập lệnh đến pixel: Sự thay đổi kỹ thuật ẩn mã
Những kẻ tấn công đang từ bỏ hoặc bổ sung các tập lệnh SVG dựa trên XML để thay vào đó là kỹ thuật giấu tin PNG dựa trên pixel. Sự thay đổi chiến thuật này tương quan trực tiếp với quyết định vào tháng 10 của Microsoft về việc chặn hình ảnh SVG nội tuyến trong Outlook để chống lừa đảo.
Không giống như SVG dựa trên các tập lệnh dựa trên văn bản dễ dàng bị bộ lọc gắn cờ, phương pháp mới ẩn mã độc bên trong dữ liệu hình ảnh của chính hình ảnh đó.
Sử dụng thuật toán tùy chỉnh, trình tải sẽ tái sử dụng các cấu trúc dữ liệu hình ảnh tiêu chuẩn để che giấu tải trọng của nó. Mô tả cơ chế của hệ thống phân phối tải trọng mới, Ben Folland và Anna Pham, các nhà nghiên cứu tại Huntress, giải thích rằng “mã độc hại được mã hóa trực tiếp trong dữ liệu pixel của hình ảnh PNG, dựa vào các kênh màu cụ thể để tái tạo và giải mã tải trọng”.
Sau khi được trích xuất, tải trọng sẽ được giải mã trong bộ nhớ, bỏ qua cơ chế phát hiện dựa trên đĩa. Các đường dẫn thực thi chỉ dành cho bộ nhớ như vậy đặc biệt hiệu quả đối với các hệ thống Phát hiện và phản hồi điểm cuối (EDR), vốn chủ yếu giám sát việc ghi tệp vào đĩa.
Bằng cách giữ cho mã độc không ổn định và không ổn định, kẻ tấn công giảm đáng kể thời gian để thu thập điều tra. Nêu bật những thách thức pháp lý mà kỹ thuật này đặt ra, các nhà nghiên cứu của Huntress lưu ý rằng “một phát hiện đáng chú ý trong quá trình phân tích là việc sử dụng kỹ thuật ẩn mã của chiến dịch để che giấu các giai đoạn phần mềm độc hại cuối cùng trong một hình ảnh”.
Cuối cùng, một tập hợp.NET được tải theo phản xạ để đưa tải trọng vào `explorer.exe`.
Bẫy’ClickFix’: Vũ khí hóa niềm tin của người dùng
Tận dụng một kỹ thuật có tên là”ClickFix,”cuộc tấn công bắt chước một lỗi Windows hợp pháp hoặc màn hình cập nhật. Nạn nhân được hiển thị giao diện “Windows Update” giả mạo có vẻ bị đình trệ hoặc không thành công. Để”khắc phục”sự cố, người dùng được hướng dẫn mở hộp thoại Windows Run (Win+R) và dán lệnh.
Bỏ qua hoàn toàn các lỗ hổng kỹ thuật, kỹ thuật này tận dụng lỗ hổng công nghệ thấp trong hành vi của người dùng. Nhấn mạnh rào cản thấp để xâm nhập vào hoạt động khai thác này, các nhà nghiên cứu của Huntress nhấn mạnh tính đơn giản của phương pháp này.
JavaScript được nhúng trong trang thu hút sẽ tự động điền lệnh độc hại vào bảng tạm. Những chiến thuật như vậy phá vỡ các biện pháp kiểm soát bảo mật của trình duyệt như SmartScreen, vốn thường gắn cờ các lượt tải xuống độc hại nhưng không thực thi lệnh thủ công.
Để giảm thiểu vectơ cụ thể này, quản trị viên có thể vô hiệu hóa hộp Chạy thông qua sửa đổi sổ đăng ký bằng cách sử dụng lệnh sau:
reg add”HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”/v NoRun/t REG_DWORD/d 1/f
Sự phụ thuộc vào thông tin nhập thủ công của người dùng đánh dấu đây là một cách khai thác”lấy con người làm trung tâm”chứ không phải là một lỗ hổng kỹ thuật trong Windows.
Sự cố kỹ thuật: Bên trong Trình tải
Bắt đầu lây nhiễm, lệnh `mshta.exe` được thực thi thông qua hộp Chạy. Lệnh này truy xuất tệp HTA từ xa, sau đó thực thi tập lệnh PowerShell. Sau khi thực thi, tập lệnh sẽ giải mã và tải tập hợp.NET trực tiếp vào bộ nhớ. Phân tích kỹ thuật của Huntress mô tả chi tiết quá trình tải tiếp theo:
“Mã C# để tạo điều kiện cho việc chèn mã shellcode cũng được lưu trữ được mã hóa trong chính tập hợp.NET và được biên dịch thành một tập hợp.NET khác, được tải phản ánh trong thời gian chạy.”
Donut, một công cụ tạo shellcode, thực thi tải trọng cuối cùng (Rhadamanthys hoặc LummaC2).
Bản phân tích cho thấy việc sử dụng mã”tấm bạt lò xo”với hàng nghìn lệnh gọi hàm trống để cản trở các nỗ lực kỹ thuật đảo ngược. Quá trình tải phản chiếu đảm bảo phần mềm độc hại hoạt động gần như hoàn toàn trong bộ nhớ, để lại dấu vết điều tra ở mức tối thiểu trên đĩa.
Khả năng phục hồi chống lại’Operation Endgame’
Mặc dù đã có các cuộc triệt phá Operation Endgame cao cấp vào giữa tháng 11, chiến dịch vẫn tiếp tục diễn ra. Các nhà nghiên cứu của Huntress xác nhận rằng nhiều miền lưu trữ chương trình thu hút Windows Update vẫn đang hoạt động.
Bất chấp các cuộc triệt phá được phối hợp, các tác nhân đe dọa vẫn duy trì được chỗ đứng chức năng. Xác nhận sự tồn tại của cơ sở hạ tầng, Ben Folland và Anna Pham nhận xét rằng “kể từ ngày 19 tháng 11, nhiều miền đang hoạt động… tiếp tục lưu trữ trang Windows Update Lure được liên kết với chiến dịch Rhadamanthys”.
Dữ liệu ESET gần đây cho thấy mức tăng đột biến 500% Các cuộc tấn công ClickFix vào quý 4 năm 2025, cho thấy chiến thuật này đang trở nên phổ biến trong giới tội phạm mạng. Sự phân cấp cho phép cơ sở hạ tầng botnet vượt qua các nỗ lực triệt phá tập trung.
Sự tồn tại dai dẳng như vậy cho thấy những hạn chế của các hành động thực thi pháp luật chống lại các mạng phần mềm độc hại phân tán, hiện đại. Khả năng xoay vòng nhanh chóng, từ SVG sang PNG và từ máy chủ C2 này sang máy chủ C2 khác, thể hiện tính linh hoạt trong vận hành cao.
