// CLUBIC — CYBERSECURITY
Les hackers ne renoncent pas à ClickFix, bien au contraire
ClickFix est en train de devenir un écosystème complet de distribution de malwares, avec de nouveaux chargeurs, de nouvelles méthodes de diffusion et une capacité d’adaptation remarquable. Morphisec, BlueVoyant et Huntress les ont étudiés et ont notamment remarqué que les secteurs les plus touchés étaient ceux de l’éducation, de la finance, du droit, de l’architecture et de la construction.
ClickFix est une technique d’ingénierie sociale qui affiche à l’utilisateur une fausse alerte système ou un faux CAPTCHA, puis copie automatiquement une commande malveillante dans son presse-papiers. En avril et mai derniers, trois groupes ont chacun déployé un nouveau chargeur de malwares via ce vecteur.
Pour déclencher une infection, il suffit qu’un utilisateur colle dans la fenêtre Exécuter de Windows ou dans PowerShell une commande déjà copiée à son insu dans son presse-papiers. Aucun fichier suspect ne transite par le réseau. Le système d’exploitation exécute la commande via ses propres outils légitimes, ce qui déjoue les antivirus classiques.
On comprend pourquoi, depuis le début de cette année, trois opérations criminelles distinctes ont tiré parti de ce mécanisme avec des chargeurs inédits, des cibles variées et des objectifs finaux très différents.
BabaDeda était connu depuis 2021 pour dissimuler des charges malveillantes dans des installateurs d’apparence légitime. En avril, Shmuel Uzan, chercheur chez Morphisec, a publié l'analyse d'une version remaniée qui cible les secteurs de l’éducation et de la finance. Techniquement, on y trouve un composant nouveau baptisé Storage Crypter, qui lit les données malveillantes depuis des fichiers de stockage externes à l’apparence anodine, comme un fichier nommé « List. Control.dat ». Plutôt que d’embarquer les charges directement dans l’exécutable, Storage Crypter les externalise, de sorte que les outils d’analyse statique n’ont plus rien à inspecter dans le binaire principal.
Une première chaîne d’infection livre un backdoor . NET capable d’extraire cookies, historiques de navigation, identifiants enregistrés et clés de chiffrement locales de navigateurs. Une seconde dépose une archive ZIP qui exploite du DLL side-loading pour installer DanaBot et SectopRAT, deux chevaux de Troie d’accès à distance répandus dans les opérations cybercriminelles.
Potemkin est un chargeur 64 bits jusqu’alors inconnu, découvert par Anna Pham et Zach Rogers chez Huntress. Pour trouver son serveur de commande, il génère des domaines algorithmiquement plutôt que d’en inscrire un en dur dans son code. Ses modules s’exécutent directement en mémoire vive, sans jamais toucher le disque, ce qui rend leur détection très difficile.
Un paquet MSI dépose une application HTML qui installe ensuite EtherRAT et RMMProject, une DLL scriptable en Lua. RMMProject donne aux attaquants un contrôle à distance de l’écran, vole les données de remplissage automatique en contournant les protections App-Bound Encryption de Chromium, prend des captures d’écran et peut télécharger de nouveaux modules depuis un serveur distant.
Lorem Ipsum née autrement. Depuis février, BlueVoyant suivait sa progression. À l’époque, les opérateurs livraient des installateurs Microsoft Teams piégés, chacun signé avec un vrai certificat Microsoft Trusted Signing obtenu frauduleusement.
Fin mai, Microsoft a démantelé Fox Tempest, un fournisseur de certificats de signature à destination de cybercriminels, et révoqué plus de 1 000 certificats frauduleux. En quelques jours, les opérateurs ont abandonné les installateurs signés pour des leurres ClickFix hébergés sur des sites WordPress compromis.