Cuộc tấn công này bao gồm việc các tin tặc hiển thị một thông báo lỗi giả mạo trên một trang web bị xâm nhập hoặc độc hại. Thông báo này hướng dẫn nạn nhân khắc phục sự cố bằng cách nhấn và thao tác các phím cụ thể, sau đó thực hiện các bước bổ sung (ví dụ chạy một lệnh).

Bằng cách làm theo hướng dẫn của những kẻ tấn công, người dùng vô tình cấp quyền cao hơn, tải xuống mã độc hoặc thực thi các tập lệnh do tác nhân đe dọa cung cấp.

Trong một vụ tấn công ClickFix gần đây được Microsoft ghi nhận, tin tặc đã yêu cầu các nạn nhân chạy một lệnh thực thi tra cứu DNS tùy chỉnh.

“Lệnh ban đầu được chạy thông qua cmd.exe và thực hiện tra cứu DNS (DNS lookup) với một máy chủ DNS bên ngoài được mã hóa cứng, thay vì trình phân giải mặc định của hệ thống. Kết quả đầu ra được lọc để trích xuất phản hồi DNS Name, sau đó thực thi như payload giai đoạn thứ hai”, Microsoft giải thích.

Chiến thuật này cho phép tin tặc tiếp cận cơ sở hạ tầng của nạn nhân và xác thực việc thực thi mã độc giai đoạn hai, tăng khả năng né tránh bị phát hiện bằng cách “trộn lẫn” lưu lượng truy cập độc hại vào lưu lượng mạng thông thường.

Giai đoạn tiếp theo sẽ tải xuống và thực thi một script Python độc hại được thiết kế để trinh sát. Sau đó, phần mềm độc hại cuối cùng được nhúng và một cơ chế duy trì hoạt động được triển khai.

Theo Microsoft, phần mềm độc hại cuối cùng là một trojan truy cập từ xa có tên ModeloRAT, cho phép kẻ tấn công thu thập thông tin về hệ thống bị xâm nhập và thực thi các payload khác.

Mặc dù gã khổng lồ công nghệ chưa chia sẻ bất kỳ thông tin nào về các cuộc tấn công, nhưng công ty an ninh mạng Huntress mới đây đã đưa tin rằng, nhóm tin tặc KongTuke đã triển khai ModeloRAT thông qua một biến thể ClickFix có tên là CrashFix, đồng thời nhấn mạnh chiến dịch này nhắm vào môi trường doanh nghiệp.