ClickFix attack uses fake Windows BSOD screens to push malware

Attaque ClickFix : Le BSOD Usurpé pour la Propagation de Malware

Une nouvelle campagne d’ingénierie sociale, nommée ClickFix, cible spécifiquement le secteur de l’hôtellerie en Europe. Les attaquants exploitent de fausses pages de “Blue Screen of Death” (BSOD) de Windows pour inciter les victimes à exécuter manuellement un logiciel malveillant sur leurs systèmes.

L’attaque commence par des e-mails de phishing qui imitent des communications de Booking.com, souvent liés à l’annulation d’une réservation avec un montant de remboursement attractif, créant ainsi un sentiment d’urgence. En cliquant sur un lien, la victime est dirigée vers un site web frauduleux, une copie très fidèle de Booking.com, conçu pour afficher un message d’erreur.

Sous prétexte de résoudre ce problème, la victime est incitée à exécuter une commande PowerShell. Cette commande, une fois lancée, affiche une fausse page BSOD plein écran. Celle-ci instruit l’utilisateur de copier et coller une commande spécifique dans la boîte de dialogue “Exécuter” de Windows, puis de l’exécuter. L’exécution de cette commande télécharge un projet .NET malveillant, le compile à l’aide du compilateur légitime de Windows, puis installe un cheval de Troie d’accès à distance (RAT) connu sous le nom de DCRAT.

Ce malware, une fois actif, peut permettre aux attaquants de prendre le contrôle total des systèmes compromis, d’exécuter des commandes à distance, de voler des informations, d’enregistrer les frappes au clavier et même de déployer des mineurs de cryptomonnaies.

Points Clés :

• Technique d’ingénierie sociale : Utilisation de fausses pages BSOD pour masquer l’exécution de commandes malveillantes.
• Ciblage sectoriel : Principalement le secteur de l’hôtellerie.
• Prétexte : Faux e-mails de Booking.com pour créer une fausse urgence.
• Exécution manuelle du malware : Les victimes sont poussées à exécuter elles-mêmes les commandes malveillantes.
• Charge utile : DCRAT, un RAT permettant un accès à distance et d’autres fonctionnalités malveillantes.

Vulnérabilités Exploités (non spécifiquement référencées par CVE dans l’article, mais conceptuellement) :

• Confiance dans les marques connues : Exploitation de la reconnaissance et de la confiance accordées à des sites comme Booking.com.
• Pression temporelle et émotionnelle : Création d’un sentiment d’urgence via les faux remboursements pour court-circuiter le jugement de l’utilisateur.
• Méconnaissance des utilisateurs : Exploitation du manque de familiarité avec le fonctionnement réel des BSOD et des commandes système.
• Élévation de privilèges : L’attaque cherche à obtenir des droits d’administrateur pour contourner les protections.

Recommandations :

• Vérification des sources : Toujours vérifier l’authenticité des e-mails et des sites web, même s’ils semblent légitimes, en particulier lorsqu’ils demandent des actions urgentes ou inhabituelles.
• Prudence avec les commandes : Ne jamais exécuter de commandes provenant de sources non fiables ou demandées dans des contextes suspects.
• Formation à la cybersécurité : Sensibiliser les employés aux tactiques d’ingénierie sociale courantes, y compris les fausses alertes et les fausses BSOD.
• Authentification multifacteur : Utiliser l’authentification multifacteur pour renforcer la sécurité des comptes en ligne.
• Solutions de sécurité : Maintenir les systèmes et les logiciels de sécurité à jour, y compris les antivirus et les pare-feu.
• Principes de moindre privilège : Attribuer aux utilisateurs uniquement les privilèges nécessaires pour leurs fonctions, afin de limiter les dégâts en cas de compromission.

Source