Giới thiệu
FileFix là một kỹ thuật tấn công xã hội (social engineering) mới được trình bày bởi mr.d0x, nhằm thay thế hoặc bổ sung cho phương pháp ClickFix truyền thống. Trong khi ClickFix lợi dụng hộp thoại Run của Windows để dụ nạn nhân thực thi lệnh độc hại, FileFix tận dụng các thao tác với hộp thoại chọn file (File Upload Dialog), một thành phần quen thuộc trong trình duyệt và hệ điều hành.
Cơ chế hoạt động của FileFix
- Khởi tạo hộp thoại chọn file
- Kẻ tấn công tạo một website với trường input file, nhử nạn nhân nhấp vào để tải tệp lên.
- Khi người dùng click, hộp thoại chọn file của hệ điều hành sẽ được mở ra.
- Xây dựng nội dung tấn công
- Thay vì yêu cầu nạn nhân chọn file, website sẽ hướng dẫn họ sao chép một chuỗi lệnh đặc biệt (ví dụ lệnh độc hại, payload) thông qua các bước social engineering trực quan, như “Copy code này để tiếp tục”.
- Nạn nhân được hướng dẫn dán (paste) chuỗi ký tự đó vào chính hộp thoại File Name trong cửa sổ chọn file.
- Thực thi lệnh trên hệ điều hành
- Nếu nạn nhân dán payload vào trường File Name và nhấn Enter, Windows (hoặc hệ điều hành tương thích) sẽ hiểu đây là đường dẫn hoặc lệnh và cố gắng thực thi.
- Nếu payload được xây dựng khéo léo (ví dụ: lệnh PowerShell, batch file, hoặc mã độc…), hệ thống sẽ thực hiện lệnh, dẫn đến compromise.
So sánh với ClickFix gốc
| Đặc điểm | ClickFix | FileFix |
|—————————–|——————————-|——————————-|
| Kênh tấn công | Run Dialog (Win+R) | File Upload Dialog |
| Vị trí thao tác | Desktop/OS | Trình duyệt + Hệ điều hành |
| Payload | Thường là lệnh trực tiếp | Dán vào trường File Name |
| Yếu tố lừa đảo | Hướng dẫn nhập lệnh vào Run | Hướng dẫn dán/paste vào File Name |
| Khả năng phát hiện của người dùng | Trung bình | Thấp (do quá trình upload file quen thuộc) |
Ưu điểm vượt trội của FileFix
- Tận dụng hành vi quen thuộc: Người dùng internet thường xuyên thao tác với upload file, nên ít nghi ngờ khi được yêu cầu chọn file hoặc dán gì đó vào trường File Name.
- Vượt qua nhận diện kỹ thuật: Một số giải pháp phòng thủ tập trung vào hộp thoại Run hoặc Shortcut, nhưng lại lơ là với các trường nhập liệu của File Dialog.
- Ứng dụng đa dạng: Có thể áp dụng với nhiều loại payload, từ script tự động cho đến lệnh thực thi trực tiếp trên Windows, tuỳ thuộc vào mục tiêu và cấp độ social engineering.
Giới hạn và phòng tránh
- Yêu cầu tương tác người dùng: FileFix vẫn cần nạn nhân thực hiện thao tác copy-paste thủ công, nên thành công phụ thuộc vào khả năng thuyết phục.
- Khả năng phòng thủ: Người dùng cần cảnh giác với các hướng dẫn upload file không rõ ràng, đặc biệt khi được yêu cầu dán một chuỗi lệnh thay vì chọn file thực tế.
Một số đoạn mã (ví dụ trong bài gốc)
<!-- Ngăn không cho người dùng chọn file thực sự, chỉ cho phép thao tác với trường File Name -->
<input type="file" id="fileInput" style="display:none;">
<button onclick="document.getElementById('fileInput').click();">Upload File</button>
<script>
document.getElementById('fileInput').addEventListener('change', function(e) {
// Chặn upload thực, reset trường nhập file
this.value = '';
alert('Please paste the provided code into the File Name field.');
});
</script>
Giá trị thực tiễn
FileFix là minh chứng cho việc các kỹ thuật social engineering không ngừng đổi mới, tận dụng thói quen và hành vi phổ biến của người dùng để tăng tỷ lệ thành công. Việc nhận diện và phòng tránh không chỉ dựa vào công nghệ, mà còn cần sự cảnh giác, hiểu biết của người dùng về các bước tương tác tưởng như rất “bình thường” trên website.
Source link: FileFix – A ClickFix Alternative
