Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch độc hại nhắm vào các trang WordPress, trong đó kẻ tấn công chèn mã JavaScript độc hại nhằm chuyển hướng người dùng tới các trang web khả nghi.

“Khách truy cập trang nhận được nội dung bị tiêm vào, đó là dạng malware khi truy cập (drive-by) như các trang xác thực Cloudflare giả,” nhà nghiên cứu tại Sucuri, Puja Srivastava, nhận định trong một phân tích được công bố tuần trước.

Công ty bảo mật website này cho biết họ khởi xướng điều tra sau khi một trang WordPress của khách hàng phát tán JavaScript bên thứ ba đáng ngờ tới khách truy cập, và cuối cùng phát hiện kẻ tấn công đã thực hiện các chỉnh sửa độc hại vào một tập tin liên quan đến theme (tập tin “functions.php”).

Đoạn mã được chèn vào “functions.php” có tham chiếu tới Google Ads — có vẻ nhằm né tránh các cơ chế phát hiện. Tuy nhiên thực tế, đoạn mã hoạt động như một bộ nạp từ xa (remote loader) bằng cách gửi một yêu cầu HTTP POST tới miền “brazilc[.]com”, miền này trả về một payload động bao gồm hai thành phần chính —

• Một tệp JavaScript lưu trên máy chủ từ xa (“porsasystem[.]com”), tính đến thời điểm viết bài đã được tham chiếu trên 17 trang web và chứa mã thực hiện chuyển hướng trang.

• Một đoạn mã JavaScript tạo một iframe ẩn kích thước 1×1 pixel, bên trong iframe này nó chèn mã giả mô phỏng các tài nguyên hợp lệ của Cloudflare như “cdn-cgi/challenge-platform/scripts/jsd/main.js” — một API là thành phần cốt lõi trong nền tảng phát hiện bot và cơ chế thách đố của Cloudflare.

Cần lưu ý rằng miền “porsasystem[.]com” đã bị gắn cờ là một phần của hệ thống phân phối lưu lượng (traffic distribution system — TDS) tên Kongtuke (còn gọi là 404 TDS, Chaya_002, LandUpdate808, và TAG-124).

Theo thông tin được một tài khoản có tên “monitorsg” trên Mastodon chia sẻ vào ngày 19 tháng 9 năm 2025, chuỗi lây nhiễm bắt đầu khi người dùng truy cập một trang bị xâm phạm, dẫn tới việc thực thi “porsasystem[.]com/6m9x.js”, rồi tiếp tục tới “porsasystem[.]com/js.php” và cuối cùng đưa nạn nhân tới các trang kiểu ClickFix để phân phối malware.

Những phát hiện này minh họa yêu cầu cấp thiết phải bảo vệ các trang WordPress: đảm bảo plugin, theme và phần mềm website luôn được cập nhật; bắt buộc mật khẩu mạnh; quét kiểm tra các bất thường; và rà soát các tài khoản quản trị không mong muốn được tạo ra nhằm duy trì truy cập bền bỉ (persistence) ngay cả khi malware đã bị phát hiện và loại bỏ.

Tạo Trang ClickFix Bằng Công Cụ IUAM ClickFix Generator

Công bố được đưa ra trong bối cảnh Palo Alto Networks Unit 42 mô tả một bộ công cụ phishing có tên IUAM ClickFix Generator, cho phép kẻ tấn công lây nhiễm malware cho người dùng bằng kỹ thuật xã hội ClickFix và tạo các trang đích tùy biến mô phỏng các trang thách đố/verifying của trình duyệt thường được dùng để chặn lưu lượng tự động.

“Công cụ này cho phép tác nhân đe doạ tạo các trang lừa đảo có thể tùy biến cao, mô phỏng hành vi challenge-response của một trang xác thực trình duyệt mà các Mạng Phân Phối Nội Dung (CDN) và nhà cung cấp bảo mật đám mây hay dùng để phòng chống các mối đe dọa tự động,” nhà nghiên cứu bảo mật Amer Elsad cho biết. “Giao diện giả mạo được thiết kế để trông hợp pháp đối với nạn nhân, tăng hiệu quả của mồi nhử.”

Các trang lừa đảo tùy chỉnh này còn có khả năng thao túng clipboard — một bước then chốt trong cuộc tấn công ClickFix — cũng như nhận diện hệ điều hành để điều chỉnh trình tự lây nhiễm và phục vụ malware tương thích.

Trong ít nhất hai trường hợp khác nhau, các tác nhân đe dọa đã bị phát hiện sử dụng các trang do bộ kit tạo ra để triển khai thông tin đánh cắp (information stealers) như DeerStealer và Odyssey Stealer, trong đó Odyssey Stealer được thiết kế nhắm tới hệ điều hành Apple macOS.

Sự xuất hiện của IUAM ClickFix Generator bổ sung vào cảnh báo trước đó từ Microsoft, nhấn mạnh sự gia tăng các bộ xây dựng ClickFix thương mại trên các diễn đàn ngầm kể từ cuối năm 2024. Một ví dụ đáng chú ý khác về bộ kit phishing đã tích hợp công cụ này là Impact Solutions.

“Các bộ kit cho phép tạo trang đích với nhiều mồi nhử khác nhau, bao gồm Cloudflare,” Microsoft lưu ý vào tháng 8 năm 2025. “Chúng cũng cung cấp cách xây dựng các lệnh độc hại mà người dùng sẽ dán vào hộp Run của Windows. Những kit này tuyên bố có thể vượt qua phần mềm chống virus và bảo vệ web (một số còn hứa hẹn có thể vượt qua Microsoft Defender SmartScreen), cũng như đảm bảo tính bền vững của payload.”

Không cần nói thêm, các công cụ này càng hạ thấp rào cản gia nhập cho tội phạm mạng, cho phép họ triển khai các cuộc tấn công đa nền tảng, tinh vi và ở quy mô lớn mà không cần nhiều nỗ lực hay chuyên môn kỹ thuật.

ClickFix Trở Nên Kín Đáo Hơn Qua Kỹ Thuật Cache Smuggling

Những phát hiện cũng theo sau việc phát hiện một chiến dịch mới cải tiến công thức ClickFix bằng kỹ thuật tinh ranh gọi là cache smuggling, nhằm né tránh phát hiện bằng cách không tải rõ ràng bất kỳ tệp độc hại nào xuống hệ thống mục tiêu.

“Chiến dịch này khác với các biến thể ClickFix trước đó ở chỗ đoạn script độc hại không tải xuống tệp nào hay giao tiếp với internet,” Marcus Hutchins, Nhà nghiên cứu mối đe dọa chính tại Expel, cho biết. “Điều này đạt được bằng cách sử dụng bộ nhớ đệm (cache) của trình duyệt để chủ động lưu trữ dữ liệu tùy ý lên máy người dùng.”

Trong cuộc tấn công mà công ty an ninh mạng ghi nhận, trang theo chủ đề ClickFix giả dạng một công cụ kiểm tra tuân thủ VPN Fortinet (Fortinet VPN Compliance Checker), sử dụng chiến thuật FileFix để lừa người dùng mở Windows File Explorer và dán một lệnh độc hại vào thanh địa chỉ để kích hoạt thực thi payload.

Lệnh vô hình được thiết kế để chạy một script PowerShell thông qua conhost.exe. Điểm khác biệt của script này là nó không tải thêm bất kỳ malware nào hay giao tiếp với máy chủ do kẻ tấn công kiểm soát. Thay vào đó, nó thực thi một payload đã được rối (obfuscated) mà được ngụy trang dưới dạng một ảnh JPEG và đã được trình duyệt lưu vào cache khi người dùng truy cập trang lừa đảo.

“Cả trang web lẫn script PowerShell đều không trực tiếp tải xuống tệp nào,” Hutchins giải thích. “Bằng cách để trình duyệt cache ‘hình ảnh’ giả, malware có thể có một file zip nguyên vẹn trên hệ thống cục bộ mà không cần lệnh PowerShell thực hiện các yêu cầu web.”

“Hệ quả của kỹ thuật này rất đáng lo ngại, vì cache smuggling có thể cung cấp phương thức né tránh các cơ chế bảo vệ vốn bắt được các tệp độc hại khi chúng bị tải xuống và thực thi. Một file trông vô hại có loại MIME là ‘image/jpeg’ được tải về, sau đó nội dung của nó được giải nén và thực thi thông qua một lệnh PowerShell ẩn trong mồi nhử ClickFix.”

Lưu ý cho đội vận hành và quản trị web: ưu tiên kiểm tra tệp theme (như functions.php), rà soát mọi thay đổi bất thường, thực hiện kiểm tra toàn diện các quyền và tài khoản quản trị, áp dụng chính sách mật khẩu mạnh, bật MFA cho các tài khoản quản trị, chạy quét tích hợp (SCA) và EDR/IOC hunting để phát hiện các dấu hiệu tồn tại bền bỉ (persistence) của kẻ tấn công. Nếu cần, tiến hành phân tích forensics để xác định phạm vi xâm phạm và loại bỏ mọi backdoor trước khi phục hồi hệ thống từ bản sao lưu sạch.