ClickFix Malware
Une stratégie récente de distribution de logiciels malveillants utilise des notifications trompeuses ressemblant aux erreurs de Google Chrome, Microsoft Word et OneDrive. Ces fausses alertes visent à inciter les utilisateurs à exécuter des « correctifs » PowerShell menaçants, qui finissent par installer des logiciels malveillants. Cette campagne a été identifiée et utilisée par divers acteurs malveillants, notamment ceux associés à ClearFake, un nouveau groupe connu sous le nom de ClickFix, et le célèbre acteur malveillant TA571. TA571 est connu pour son rôle de distributeur de spam, responsable de la diffusion de grands volumes d'e-mails qui conduisent souvent à des infections par des logiciels malveillants et des ransomwares.
Auparavant, les attaques ClearFake impliquaient des superpositions de sites Web qui incitaient les visiteurs à installer des logiciels malveillants en se faisant passer pour de fausses mises à jour de navigateur.
Table des matières
De fausses alertes d’erreur peuvent générer des menaces de logiciels malveillants
Dans les attaques signalées, les auteurs de la menace ont élargi leurs méthodes pour inclure du JavaScript intégré dans les pièces jointes HTML et les sites Web compromis. Ces tactiques impliquent désormais des superpositions qui simulent de fausses erreurs provenant de Google Chrome, Microsoft Word et OneDrive. Ces alertes trompeuses incitent les visiteurs à cliquer sur un bouton pour copier un « correctif » PowerShell dans leur presse-papiers, leur demandant de le coller et de l'exécuter soit dans une boîte de dialogue Exécuter, soit dans une invite PowerShell.
Bien que cette chaîne d’attaque repose sur une interaction significative de l’utilisateur, son ingénierie sociale est suffisamment sophistiquée pour présenter simultanément aux utilisateurs ce qui semble être un véritable problème et une solution. Cela peut contraindre les utilisateurs à agir dans la précipitation sans évaluer pleinement les risques associés. Les chercheurs d'Infosec ont identifié plusieurs charges utiles utilisées dans ces attaques, notamment DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , un pirate de presse-papiers et Lumma Stealer .
Les scripts frauduleux déposent des logiciels malveillants sur les appareils des utilisateurs
Les analystes ont identifié trois chaînes d'attaque distinctes qui se distinguent principalement par leurs étapes initiales, seule la première n'étant pas définitivement liée au TA571.
Dans ce premier scénario, associé à des acteurs malveillants connectés à ClearFake, les utilisateurs visitent des sites Web compromis qui chargent des scripts malveillants hébergés sur la blockchain via les contrats Smart Chain de Binance. Ces scripts effectuent des vérifications et déclenchent de fausses alertes Google Chrome signalant des problèmes d'affichage des pages Web. La boîte de dialogue invite ensuite les visiteurs à installer un « certificat racine » en copiant un script PowerShell dans le Presse-papiers Windows et en l'exécutant dans une console Windows PowerShell (administrateur).
Lors de l'exécution, le script PowerShell valide le périphérique cible. Il procède à des actions telles que vider le cache DNS, effacer le contenu du presse-papiers, afficher un message de distraction et télécharger un script PowerShell distant. Ce script, à son tour, effectue des vérifications anti-VM avant de lancer le téléchargement d'une charge utile de vol d'informations.
Les e-mails ClickFix et Lure utilisés comme chaînes d’attaque alternatives
La deuxième chaîne d'attaque est liée à la campagne « ClickFix », utilisant des injections de sites Web sur des sites compromis pour créer une superposition iframe présentant une fausse erreur Google Chrome. Les utilisateurs sont invités à ouvrir « Windows PowerShell (Admin) » et à coller le code fourni, ce qui entraînera les mêmes infections mentionnées précédemment.
Une autre méthode d'infection implique des attaques par courrier électronique utilisant des pièces jointes HTML ressemblant à des documents Microsoft Word. Les utilisateurs sont invités à installer l'extension « Word Online » pour afficher correctement le document. Le message d'erreur propose les options « Comment réparer » et « Correction automatique ». La sélection de « Comment réparer » copie une commande PowerShell codée en base64 dans le presse-papiers, demandant aux utilisateurs de la coller dans PowerShell. « Auto-fix » utilise le protocole search-ms pour afficher un fichier « fix.msi » ou « fix.vbs » hébergé par WebDAV à partir d'un partage de fichiers contrôlé par un attaquant distant. Dans ces cas, les commandes PowerShell téléchargent et exécutent soit un fichier MSI, soit un script VBS, entraînant respectivement des infections par Matanbuchus ou DarkGate.
Tout au long de ces attaques, les acteurs malveillants exploitent le manque de sensibilisation des utilisateurs aux risques associés à l'exécution de commandes PowerShell sur leurs systèmes. Ils capitalisent également sur l'incapacité de Windows à détecter et empêcher les actions nuisibles déclenchées par le code collé.
Les chaînes d'attaque variées observées par les chercheurs indiquent que TA571 explore activement diverses méthodes pour améliorer son efficacité et découvrir des voies supplémentaires pour infecter un plus grand nombre de systèmes. Cette approche adaptative souligne l'engagement des cybercriminels à faire évoluer leurs tactiques et à étendre leur impact dans le paysage de la cybersécurité.
