Porte dérobée CORNFLAKE.V3

Les acteurs malveillants exploitent de plus en plus une technique trompeuse appelée ClickFix pour diffuser une porte dérobée sophistiquée, CORNFLAKE.V3. Les chercheurs en sécurité qui suivent cette activité, désignée UNC5518, l'ont reliée à une opération d'accès en tant que service (AAS) où de fausses pages CAPTCHA incitent les victimes à exécuter des commandes malveillantes. Une fois l'accès obtenu, il est revendu ou partagé avec d'autres groupes cybercriminels pour une exploitation ultérieure.

Comment l’attaque commence

La chaîne d'infection débute souvent lorsque les utilisateurs interagissent avec des résultats de recherche corrompus par le SEO ou des publicités malveillantes. Les victimes sont redirigées vers une fausse page de vérification CAPTCHA, conçue pour ressembler à Turnstile de Cloudflare ou à d'autres services légitimes. Pensant résoudre un problème de vérification, les utilisateurs sont invités à copier-coller un script PowerShell malveillant dans la boîte de dialogue Exécuter de Windows, offrant ainsi aux attaquants l'accès dont ils ont besoin.

Implication des acteurs menaçants

L'accès volé aux campagnes UNC5518 a été exploité par au moins deux groupes distincts :

• UNC5774 – un acteur motivé financièrement qui livre CORNFLAKE pour déployer des charges utiles supplémentaires.
• UNC4108 – un groupe aux motivations peu claires, observé en train d'utiliser PowerShell pour installer des logiciels malveillants comme VOLTMARKER et NetSupport RAT.

Cela démontre comment ClickFix sert de passerelle pour une variété d’activités de suivi malveillantes.

À l’intérieur de CORNFLAKE.V3

La porte dérobée CORNFLAKE.V3 existe en JavaScript et en PHP. Elle est conçue pour :

• Exécutez différentes charges utiles via HTTP, notamment des exécutables, des DLL, du JavaScript, des fichiers batch et des commandes PowerShell.
• Collectez les données système de base et envoyez-les à un serveur contrôlé par un attaquant via les tunnels Cloudflare pour les dissimuler.

Contrairement à son prédécesseur V2, qui fonctionnait uniquement comme téléchargeur, V3 introduit la persistance en modifiant les clés d'exécution du Registre Windows et prend en charge un plus large éventail de charges utiles. Au moins trois charges utiles ont été distribuées par son intermédiaire, notamment :

• Un outil de reconnaissance Active Directory
• Un script Kerberoasting pour le vol d'identifiants

WINDYTWIST.SEA, une porte dérobée basée sur C avec des fonctionnalités telles que l'accès shell inversé, le relais du trafic TCP et le mouvement latéral

Pourquoi ClickFix est dangereux

La méthode ClickFix a gagné en popularité auprès des cybercriminels car elle repose fortement sur l'interaction humaine. Les utilisateurs sont manipulés pour exécuter eux-mêmes des commandes, contournant ainsi de nombreux outils de sécurité automatisés. Les vecteurs de diffusion les plus courants sont :

• Courriels d'hameçonnage
• Campagnes de malvertising
• Compromissions des sites Web de type drive-by

Pour accroître leur crédibilité, les attaquants se font souvent passer pour des marques connues, des vérifications Cloudflare ou même des vérifications de serveur Discord.

Commercialisation des kits ClickFix

Depuis fin 2024, des outils ClickFix sont apparus sur des forums clandestins, commercialisés sous le nom de kits « Win + R ». Leurs prix varient généralement entre 200 et 1 500 $ par mois, selon les fonctionnalités. Les composants individuels, tels que le code source, les pages de destination ou les scripts de ligne de commande, sont souvent vendus séparément entre 200 et 500 $.

Certains kits avancés regroupent les générateurs ClickFix avec d'autres chargeurs de logiciels malveillants et offrent :

• Pages de destination prêtes à l'emploi avec différents leurres
• Commandes garantissant le contournement de la détection antivirus
• Options de persistance et d'évasion SmartScreen

Mesures défensives

Pour contrer les infections liées à ClickFix, les organisations doivent adopter des mesures de défense proactives. Voici quelques mesures recommandées :

• Restreindre ou désactiver la boîte de dialogue Exécuter de Windows lorsque cela est possible.
• Réaliser régulièrement des simulations de phishing et d’ingénierie sociale pour former les utilisateurs.
• Mise en œuvre d’une journalisation et d’une surveillance robustes pour détecter rapidement les exécutions inhabituelles de PowerShell ou de script.

En se concentrant à la fois sur la prévention et la détection précoce, les organisations peuvent réduire considérablement le risque posé par les campagnes impliquant ClickFix et CORNFLAKE.V3.