Campagne de logiciels malveillants JackFix
Une enquête récente met en lumière une recrudescence des attaques exploitant l'ingénierie sociale de type ClickFix. Ces escroqueries consistent à convaincre les victimes d'exécuter elles-mêmes des commandes malveillantes, souvent par le biais de messages techniques mis en scène. La dernière opération en date pousse cette tactique encore plus loin en l'associant à de faux sites web pour adultes et à de fausses notifications de mise à jour Windows, formant ainsi une chaîne d'infection extrêmement manipulatrice que les équipes de sécurité ont baptisée JackFix.
Table des matières
Portails d’hameçonnage à contenu adulte comme point d’entrée
La campagne débute par la diffusion de faux sites pour adultes conçus pour ressembler à des plateformes connues, grâce à des publicités malveillantes et autres techniques de redirection. Dès leur arrivée sur ces pages, les utilisateurs sont confrontés à un message de mise à jour urgent, présenté comme une notification de sécurité critique de Windows. Le thème pour adultes amplifie la pression psychologique, rendant plausible cette demande soudaine de mise à jour et dissuadant les utilisateurs de remettre en question son authenticité.
Certaines variantes de ces sites contiennent des remarques de développeurs en russe, suggérant un lien possible avec un groupe de menaces russophone.
Alertes de mise à jour trompeuses en plein écran
Dès qu'un visiteur interagit avec la page malveillante, des composants HTML et JavaScript affichent instantanément une imitation en plein écran d'une boîte de dialogue de mise à jour Windows. L'interface utilise un fond bleu et un texte blanc simple, reprenant le style des messages système urgents. JavaScript tente de forcer le mode plein écran, tandis qu'un code supplémentaire essaie de bloquer les touches d'échappement courantes, notamment Échap, F11, F5 et F12, afin de piéger l'utilisateur dans la fausse mise à jour.
Malgré cela, des erreurs d'implémentation permettent aux touches Échap et F11 de fonctionner encore, offrant ainsi aux utilisateurs une issue de secours possible.
Le cœur de la supercherie réside dans les instructions affichées à la victime : ouvrir la boîte de dialogue Exécuter de Windows, coller une commande pré-copiée et l’exécuter. Ces étapes déclenchent l’exécution du logiciel malveillant et initient la compromission.
Domination de ClickFix et évolution de l’attaque
Les activités de type ClickFix ont fortement augmenté, représentant désormais près de la moitié des accès initiaux documentés. Traditionnellement, ces menaces imitent les CAPTCHA ou les invites de dépannage. La campagne JackFix marque un tournant vers des leurres plus immersifs et systémiques, illustrant comment les attaquants perfectionnent sans cesse la manipulation psychologique pour obtenir l'exécution de code avec l'aide de l'utilisateur.
Obfuscation par couches et livraison de charge utile déclenchée par commande
La première commande exécutée sur la machine de la victime exploite mshta.exe pour lancer une charge utile MSHTA contenant du JavaScript. Ce script appelle une commande PowerShell qui récupère une autre étape PowerShell depuis un serveur distant. Afin d'échapper à la détection, les domaines associés redirigent vers des sites inoffensifs tels que Google ou Steam lorsqu'on y accède manuellement. Seules les requêtes effectuées via des commandes PowerShell spécifiques, comme irm ou iwr, déclenchent la réponse malveillante, ce qui constitue un obstacle majeur à l'analyse.
Le script PowerShell téléchargé est fortement obfusqué : il contient du code inutile, une logique cachée et des vérifications destinées à entraver la rétro-ingénierie. Il tente également une élévation de privilèges et ajoute des exclusions antivirus liées aux points de terminaison C2 et aux répertoires de transit.
Élévation de privilèges forcée et déploiement de charge utile
L'élévation de privilèges est réalisée à l'aide de l'applet de commande Start-Process avec le paramètre -Verb RunAs, en interrogeant la victime à plusieurs reprises jusqu'à l'obtention des droits d'administrateur. Une fois les privilèges élevés, le script déploie des composants supplémentaires, souvent des chevaux de Troie d'accès à distance légers conçus pour contacter un serveur de commande et de contrôle (C2) et récupérer d'autres logiciels malveillants.
Un arsenal diversifié de voleurs et de chargeurs
Il a été observé que ce logiciel malveillant déployait jusqu'à huit charges utiles distinctes, notamment :
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- D'autres chargeurs et RAT étaient utilisés pour mettre en scène des menaces ultérieures.
Une seule exécution réussie suffit à compromettre des données sensibles. Les victimes risquent de perdre leurs identifiants, leurs cryptomonnaies et d'autres informations personnelles. Certains chargeurs permettent également aux attaquants d'étendre l'intrusion avec des logiciels malveillants plus puissants, aggravant ainsi considérablement les dégâts.
