ClickFix biến thể mới: cmdkey + regsvr32 biến chính Windows thành công cụ tấn công

Summary post

CyberProof vừa phát hiện biến thể ClickFix tháng 4/2026 bỏ hẳn PowerShell, chuyển sang dùng cmdkey và regsvr32 — hai LOLBin Windows ít bị giám sát — để load DLL và duy trì persistence qua scheduled task chỉ tồn tại trên server attacker. Vì sao EDR khó bắt và doanh nghiệp cần làm gì ngay?

7phút đọc

9mục nội dung

6chủ đề

TL;DR

Tháng 4/2026, CyberProof Threat Research Team công bố biến thể ClickFix mới né tránh các bộ lọc PowerShell và rundll32 mà EDR hiện đại đã quen thuộc. Thay vào đó, attacker dùng cmdkey để stage credential và regsvr32 để nạp DLL từ xa qua UNC path. Persistence cài đặt thông qua scheduled task RunNotepadNow, nhưng nội dung task không nằm trên máy nạn nhân — nó được kéo về từ file 777.xml trên server của hacker. Đây là minh họa rõ nhất cho LOLBin abuse: nếu user tự tay chạy lệnh, hệ thống mặc định tin tưởng.

Điểm mới của biến thể này

ClickFix không phải kỹ thuật mới — nó đã xuất hiện từ cuối 2023 và Microsoft báo cáo hàng nghìn thiết bị bị compromise mỗi tháng trong đầu 2025 dù đã bật EDR. Các biến thể trước thường dùng PowerShell với cặp kinh điển Invoke-RestMethod | Invoke-Expression, hoặc mshta.exe và rundll32 để tải payload thứ hai.

Vấn đề với attacker: AMSI (Antimalware Scan Interface) của Microsoft và các EDR hiện đại đã được train rất tốt để bắt PowerShell bị obfuscate. Tỉ lệ phát hiện cao đẩy tội phạm mạng đi tìm các LOLBin ít được giám sát hơn.

Biến thể CyberProof phát hiện chọn hai công cụ "sạch sẽ" theo góc nhìn EDR:

cmdkey — bình thường dùng để quản lý credential cached trong Windows. Trong tay attacker, nó dùng để stage thông tin đăng nhập trước khi giai đoạn DLL chạy.
regsvr32 — bình thường dùng để register/unregister COM component. Ở đây nó được trỏ vào UNC path \\151.245.195.142\... để fetch demo.dll trực tiếp qua mạng.

Chuỗi tấn công 5 bước

Lure: Nạn nhân gặp trang giả CAPTCHA Cloudflare "I am not a robot" hoặc thông báo lỗi trình duyệt. JavaScript ngầm copy lệnh độc vào clipboard.
Win+R + Ctrl+V + Enter: Trang hướng dẫn user mở Run dialog và paste lệnh để "xác minh con người". Lệnh thậm chí gắn comment // I am not a robot giả Cloudflare cho thật.
Stage + fetch: Lệnh chuỗi cmdkey stage credential rồi gọi regsvr32 qua UNC path để tải demo.dll 64-bit từ máy chủ ở 151.245.195.142.
Silent execute: DLL chạy hàm DllRegisterServer, gọi ngầm CreateProcessA không hiện cửa sổ.
Persistence off-host: Process tạo scheduled task tên RunNotepadNow để trông như tác vụ nền vô hại. Điểm then chốt: instruction của task được kéo từ remote 777.xml, nên attacker có thể đổi behavior bất kỳ lúc nào mà không cần tái phân phối malware.

Tới thời điểm CyberProof công bố, server 151.245.195.142 đã offline, khiến researcher không kịp dump payload cuối cùng để biết nó dẫn tới infostealer hay RAT cụ thể nào.

Vì sao nguy hiểm

Ba yếu tố cộng hưởng khiến biến thể này khó chặn:

1. LOLBin trust. Mọi binary trong chuỗi đều ký bởi Microsoft và đã có sẵn trong Windows. AV truyền thống dựa trên chữ ký file không có gì để bắt — không có dropper, không có .exe lạ, không có script PowerShell.

2. User-initiated trust. Vì lệnh được khởi chạy từ Run dialog do chính user gõ Win+R, OS log entry này dưới dạng hành động hợp lệ của người dùng. Nhiều EDR rule chỉ alert khi process bất thường được spawn bởi browser hoặc Office macro — đường đi này tránh được điều đó.

3. Footprint tối thiểu. Instruction scheduled task không lưu trên đĩa, DLL có thể bị xóa sau khi load, registry trace duy nhất là RunMRU key — và RunMRU không log nếu process fail. Forensic team có rất ít artifact để dựng lại.

Bối cảnh thị trường: ClickFix đang công nghiệp hóa

Microsoft Threat Intelligence ghi nhận ClickFix campaign nhắm hàng nghìn thiết bị doanh nghiệp + người dùng cuối mỗi ngày trên toàn cầu. Một cluster malvertising đơn lẻ có thể đẩy hàng chục đến hàng trăm nghìn unique visitor/ngày vào landing page giả.

Trên các forum hacker, ClickFix builder đã thành dịch vụ:

Subscription: $200–$1.500/tháng, tính năng kèm gồm anti-VM detection, UAC bypass, template Cloudflare/Google Meet/Google CAPTCHA, ngôn ngữ EN/DE/ES/FR/IT/PT.
One-time / piecemeal: $200–$500 cho source code, landing page, hoặc command line riêng.

Recorded Future Insikt Group (báo cáo 25/3/2026) tách 5 cluster vận hành riêng biệt, trong đó cluster "Birdeye" dùng hơn 40 domain để phân phối Lumma Stealer và RedLine Stealer. Insikt đánh giá high confidence rằng ClickFix sẽ là vector initial access chủ đạo suốt 2026.

So sánh các biến thể ClickFix

Biến thể	Tool chính	Điểm yếu của defender	Thời điểm
PowerShell + IEX	`powershell.exe` + `Invoke-RestMethod` + `iex`	AMSI scan PowerShell hiệu quả	2024 → đầu 2025
mshta / rundll32	`mshta.exe` + `rundll32.exe`	EDR đã có signature LOLBin phổ biến	2024–2025
Windows Terminal pivot	`wt.exe` thay Run dialog	Né detection rule gắn với Run dialog	Tháng 2/2026
cmdkey + regsvr32	`cmdkey` + `regsvr32` qua UNC	LOLBin ít bị giám sát, persistence off-host	Tháng 4/2026
FileFix (mr.d0x)	File Explorer address bar	UI quen thuộc, không liên quan Run dialog	Tháng 6/2025

Ai đang khai thác?

ClickFix đã rời khỏi nhóm cybercriminal cấp thấp và lên tới state-sponsored:

Initial Access Brokers bán quyền truy cập sau compromise.
BlueDelta (APT28) — nhóm GRU Nga.
PurpleBravo — nhóm Triều Tiên.
Storm-1607 — đã chạy chiến dịch tens-of-thousands email phishing tháng 5/2024 phát tán DarkGate ở Mỹ + Canada.

Payload cuối quan sát được: Lumma Stealer (phổ biến nhất), Vidar, NetSupport RAT, Xworm, AsyncRAT, SectopRAT, MintsLoader, Latrodectus, r77 rootkit, DarkGate, Lampion banking trojan. Trên macOS có AMOS (Atomic macOS Stealer) qua landing page giả Spectrum từ tháng 6/2025.

Hành động ngay

Cho người dùng cá nhân:

Không bao giờ paste lệnh từ trang web vào Win+R, terminal, hoặc File Explorer address bar — kể cả khi trang đó hiển thị Cloudflare hay CAPTCHA quen thuộc.
Cảnh giác với mọi "3-step verification" yêu cầu nhấn tổ hợp phím Windows.

Cho IT / SecOps:

Monitor registry key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU để phát hiện lệnh chứa cmdkey, regsvr32, powershell, mshta, rundll32, curl, wget.
Alert mọi regsvr32 được gọi với UNC path (\\IP\... hoặc http(s)://).
Block tạo scheduled task có instruction trỏ tới remote XML.
Bật Microsoft Defender Network Protection để chặn C2 domain mới phát hiện qua RunMRU pattern.
Áp Application Control / WDAC để hạn chế các LOLBin không cần thiết cho user thường.
Tăng cường security awareness training: ClickFix lure trông giống Cloudflare verify thật tới 95%.

Điều gì kế tiếp

Khi defender shipping signature cho cmdkey + regsvr32 pattern, attacker sẽ tiếp tục pivot. Các candidate LOLBin tiềm năng kế tiếp: installutil.exe, msbuild.exe, cscript.exe, wmic.exe (đã deprecated nhưng vẫn ship), hoặc conhost.exe abuse. FileFix của mr.d0x cho thấy attack surface không chỉ giới hạn Run dialog — bất kỳ UI nào chấp nhận text + execute đều có thể bị weapon hóa.

Insight cốt lõi không đổi: nếu chính user gõ phím và Enter, mọi defense layer đặt phía trước đều mất hiệu lực. Đây là lý do user education + Application Control sẽ quan trọng hơn bất kỳ EDR signature mới nào trong suốt 2026.

Nguồn: Hackread, Microsoft Security Blog, Recorded Future, SentinelOne, @VivekIntel.