Gần đây, các chuyên gia nghiên cứu an ninh mạng đã phát hiện một biến thể tấn công FileFix mới, sử dụng kỹ thuật cache smuggling để âm thầm tải tệp ZIP độc hại vào hệ thống nạn nhân mà không kích hoạt cảnh báo bảo mật. Đây là bước phát triển đáng chú ý trong chuỗi tấn công ClickFix/FileFix, vốn không dựa trên lỗ hổng kỹ thuật mà khai thác yếu tố con người thông qua các kỹ thuật social engineering tinh vi. Bài báo sẽ trình bày về tấn công FileFix và kỹ thuật né tránh cơ chế bảo mật, đồng thời đưa ra các khuyến nghị trong phát hiện và phòng thủ loại tấn công này.
Cơ chế hoạt động của tấn công FileFix
FileFix là một biến thể của ClickFix, kỹ thuật do người dùng có bí danh Mr.d0x công bố lần đầu vào năm 2023, tận dụng thói quen sao chép và dán (copy/paste) các lệnh hoặc đường dẫn từ trang web vào các giao diện hệ thống [1, 5]. Trong khi ClickFix truyền thống hướng vào các môi trường như CMD hoặc hộp thoại Run, FileFix chuyển hướng thao tác này sang thanh địa chỉ của File Explorer, một bề mặt tương tác ít được giám sát hơn; thông qua đó, kẻ tấn công có thể chèn lệnh hoặc đường dẫn độc hại để được hệ thống thực thi mà không bị phát hiện bởi các cơ chế giám sát hành vi thông thường [1, 4].
.png)
Hình 1. FileFix yêu cầu sao chép đường dẫn chứa lệnh PowerShell độc hại
Biến thể FileFix được ngụy trang dưới dạng công cụ “Fortinet VPN Compliance Checker”. Theo nghiên cứu của Expel và chuyên gia Marcus Hutchins, khi người dùng truy cập trang web lừa đảo, họ được yêu cầu sao chép một đường dẫn mạng (ví dụ: \\Public\Support\VPN\ ForticlientCompliance.exe) và dán vào thanh địa chỉ File Explorer [2].
Tuy nhiên, đường dẫn thực tế đã được “đệm” bằng 139 khoảng trắng, phía sau chứa một lệnh PowerShell được ẩn kỹ. Kỹ thuật “đệm” được mô tả tận dụng sự khác biệt giữa nội dung thực tế của clipboard và những gì giao diện File Explorer hiển thị: Kẻ tấn công chèn một chuỗi ký tự trắng sau một đường dẫn hợp lệ và nối tiếp bằng một lệnh PowerShell mã hóa, nên khi nạn nhân dán vào thanh địa chỉ, GUI chỉ hiển thị phần đường dẫn và che giấu phần lệnh. Tuy nhiên, hệ thống vẫn nhận toàn bộ chuỗi khi nhấn Enter, dẫn tới việc PowerShell được khởi chạy ngầm và thực hiện các thao tác như đọc cache trình duyệt, giải nén payload và khởi chạy mã độc [1].
.png)
Hình 2. Thanh địa chỉ hiển thị đường dẫn
Khi người dùng nhấn Enter, Windows kích hoạt lệnh PowerShell ngầm thông qua conhost.exe ở chế độ headless (không hiển thị giao diện).
.png)
Hình 3. Câu lệnh PowerShell độc hại
Chuỗi thực thi mã độc được thực hiện qua các bước như sau:
Bước 1: Tạo thư mục tạm: %LOCALAPPDATA%\ FortiClient\compliance. Thư mục mới xuất hiện trong profile user với cấu trúc tên giống phần mềm hợp pháp, đây là một dấu hiệu hành vi gian lận, đặc biệt nếu thư mục được tạo bởi tiến trình không phải của phần mềm chính danh.
Bước 2: Sao chép dữ liệu cache của Chrome: Tận dụng nội dung mà trình duyệt đã lưu (không phải “tải” mới) để đưa payload lên đĩa cục bộ; hành vi này làm giảm các chỉ báo mạng thông thường (không có request trực tiếp trong script).
Bước 3: Tìm dữ liệu nhúng trong cache: Sử dụng biểu thức chính quy để trích nội dung nằm giữa hai chuỗi đặc biệt (“bTgQcBpv” và “mX6o0lBw”). Dùng marker để đánh dấu vùng payload bên trong một file được trình duyệt coi là “image”, đây là kỹ thuật nhúng/che giấu (steganography-like) trong cache.
Bước 4: Giải nén tệp ZIP từ cache: Nội dung này thực chất là tệp ZIP độc hại được lưu dưới dạng ảnh trong bộ nhớ cache trình duyệt. Payload được đóng gói dưới dạng tệp ZIP nhưng bị nhúng trong một file ảnh lưu trong cache. Khi tệp ZIP được phục hồi trên máy nạn nhân thì không còn phải thực hiện thao tác tải xuống từ mạng.
Bước 5: Kích hoạt payload: Chạy FortiClientComplianceChecker.exe từ tệp ZIP để thực thi mã độc. Tiến trình mới có tên “hợp pháp” nhưng đường dẫn khởi tạo khác thường, chuỗi parent/child process không bình thường và các chỉ số persistence có thể xuất hiện.
Kỹ thuật cache smuggling
Cache smuggling là chiến lược tận dụng cơ chế lưu trữ tài nguyên của trình duyệt (HTTP cache) để chuyển một payload thành một tài nguyên được xem là “hợp pháp” (ví dụ như hình ảnh hay tệp CSS, JS). Về mặt lý thuyết kẻ tấn công phục vụ một phản hồi HTTP mà header metadata gán cho tài nguyên một kiểu (ví dụ như Content-Type: image/ jpeg), trong khi phần nội dung thực tế chứa dữ liệu nhị phân khác (ví dụ một gói ZIP hoặc dữ liệu được mã hóa/nhúng) [3]. Khi trình duyệt lưu tài nguyên đó vào cache đĩa, payload trở thành một nguồn dữ liệu cục bộ có thể được truy xuất về sau từ chính máy nạn nhân mà không cần phát sinh request mạng mới.
Vì tệp đã tồn tại trong cache trước khi lệnh PowerShell được thực thi, mã độc có thể trích xuất nội dung ZIP từ bộ nhớ cache mà không hề thực hiện yêu cầu mạng (web request) nào, giúp né tránh hoàn toàn các hệ thống giám sát tải xuống.
Ảnh hưởng và nguy cơ
Biến thể FileFix mở ra một hướng tấn công “phi kết nối” (non-network), trong đó payload có thể được khôi phục và thực thi từ dữ liệu lưu trữ cục bộ mà không sinh ra lưu lượng mạng rõ ràng. Cách tiếp cận này làm suy giảm hiệu quả của các hệ thống phát hiện truyền thống dựa trên phân tích lưu lượng (SIEM, IDS) và đặt thách thức lớn cho giải pháp endpoint (EDR) nếu chỉ tập trung vào mẫu traffic hay chữ ký.
Sự xuất hiện của các bộ công cụ tự động hóa mồi lừa (ví dụ các generator kiểu ClickFix) còn làm giảm rào cản kỹ thuật cho kẻ tấn công, tạo điều kiện nhân rộng chiến dịch trên nhiều nền tảng. Kết quả là nguy cơ tấn công quy mô lớn và đa dạng hóa phương thức khai thác hành vi người dùng sẽ tăng lên.
Đây là dấu hiệu của xu hướng tấn công kết hợp giữa kỹ nghệ xã hội và việc ẩn payload trong tài nguyên hợp pháp (cache, image,...) dẫn đến khả năng né tránh phát hiện bằng cách loại bỏ hoặc giảm thiểu tín hiệu mạng. Để ứng phó hiệu quả cần một chiến lược tổng hợp: Mở rộng giám sát sang hành vi và I/O trên endpoint, tăng cường phân tích nội dung lưu trữ cục bộ, thắt chặt chính sách thực thi theo đường dẫn, chữ ký và nâng cao nhận thức người dùng thông qua đào tạo có mục tiêu.
Khuyến nghị trong phát hiện và phòng thủ
- Mở rộng giám sát endpoint: Bổ sung rule phát hiện hành vi đọc/ghi bất thường tới cache trình duyệt; phát hiện việc tạo archive tạm không bình thường.
- Kiểm tra nội dung trước khi lưu/cho phép thực thi: Trên gateway/proxy doanh nghiệp, bật quét nội dung (file type detection, magic-byte checks) trước khi lưu cache hoặc cho phép tải.
- Cấu hình trình duyệt và policy: Giới hạn khả năng lưu tài nguyên từ nguồn không tin cậy; tắt hoặc hạn chế hoạt động service-worker/trust-onfirst-use trong môi trường nhạy cảm.
- Hạn chế thực thi theo đường dẫn: Triển khai allowlisting theo đường dẫn/chữ ký; ngăn thực thi từ thư mục cache/temp và AppData nếu không cần thiết.
- Phân tích cache định kỳ: Thu thập và phân tích chỉ số metadata của cache (kích thước, MIME, entropy) để phát hiện tài nguyên nghi vấn.
- Forensics readiness: Lưu trữ index cache, metadata HTTP, và log tiến trình để hỗ trợ điều tra khi phát hiện dấu hiệu.