New FileFix attack uses steganography to drop StealC malware

1 minute de lecture

Mis à jour : September 16, 2025

Attaque FileFix : Exploitation de la stéganographie pour diffuser StealC

Une nouvelle campagne d’ingénierie sociale, baptisée FileFix, utilise une ruse d’avertissement de suspension de compte Meta pour inciter les victimes à installer le logiciel malveillant StealC. Cette méthode, évoluant de la famille ClickFix, exploite la barre d’adresse de l’Explorateur Windows pour exécuter des commandes PowerShell furtives.

La technique se distingue par l’utilisation de la stéganographie pour dissimuler un script PowerShell secondaire et des exécutables chiffrés à l’intérieur d’une image JPG apparemment inoffensive hébergée sur Bitbucket. Le premier script PowerShell, exécuté par la victime via la barre d’adresse de l’Explorateur, télécharge l’image, en extrait le script secondaire, lequel déchiffre ensuite les charges utiles en mémoire.

Le résultat final est le logiciel malveillant StealC, conçu pour voler des informations sensibles telles que les identifiants et cookies de navigateurs, les identifiants d’applications de messagerie et de portefeuilles de cryptomonnaies, ainsi que les informations d’identification cloud et d’applications VPN et de jeux. Il possède également la capacité de capturer des captures d’écran.

Points Clés :

Imitation : L’attaque se fait passer pour un avertissement de suspension de compte Meta.
Mécanisme d’exécution : Utilise la barre d’adresse de l’Explorateur Windows pour exécuter des commandes PowerShell.
Dissimulation : Emploie la stéganographie pour cacher des scripts et des exécutables dans une image.
Charge Utile : Déploie le logiciel malveillant StealC, un voleur d’informations.

Vulnérabilités / Exploitation :

L’attaque exploite une combinaison d’ingénierie sociale et de la manière dont Windows traite les entrées dans la barre d’adresse de l’Explorateur de fichiers, permettant l’exécution de commandes PowerShell masquées. L’utilisation de variables avec de nombreux espaces à la fin de la commande à copier, plutôt que le symbole ‘#’ traditionnel de ClickFix, rend la détection plus difficile pour les systèmes basés sur ce dernier.

Recommandations :

Sensibilisation des utilisateurs : Éduquer les utilisateurs sur les nouvelles tactiques d’ingénierie sociale comme ClickFix et FileFix.
Prudence avec les actions : Insister sur les risques liés au copier-coller de données depuis des sites web dans des boîtes de dialogue système, même si elles semblent anodines.
Solutions de sécurité : Maintenir à jour les logiciels de sécurité et les systèmes d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New FileFix attack uses steganography to drop StealC malware

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast