Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New ClickFix attacks abuse Windows App-V scripts to push malware

2 minute de lecture

Mis à jour :

Nouvelle Campagne “ClickFix” Exploite les Scripts App-V de Windows pour Propager un Logiciel Malveillant

Une campagne malveillante récente combine la méthode “ClickFix” avec de fausses vérifications CAPTCHA pour inciter les victimes à exécuter manuellement une commande. Cette commande abuse d’un script légitime de Microsoft Application Virtualization (App-V), SyncAppvPublishingServer.vbs, pour masquer l’exécution de PowerShell et lancer l’outil de vol d’informations Amatera.

L’exploitation des scripts App-V, bien que connue pour contourner les solutions de sécurité, est observée pour la première fois dans le cadre d’attaques “ClickFix” destinées à distribuer un voleur d’informations. Les attaquants s’assurent que l’exécution n’a pas lieu dans des environnements d’analyse automatisée en introduisant des délais infinis si des conditions d’analyse sont détectées.

La configuration du malware est récupérée depuis un fichier Google Calendar public contenant des données encodées en Base64. Par la suite, des charges utiles multiples sont déchiffrées et chargées en mémoire via le framework WMI de Windows. L’infection utilise ensuite la stéganographie pour dissimuler les charges utiles dans des images PNG hébergées sur des CDN publics. Ces images sont dynamiquement récupérées, les données sont extraites par stéganographie LSB, déchiffrées, décompressées et exécutées entièrement en mémoire. Enfin, un shellcode natif lance le logiciel Amatera, qui est capable de collecter des données du navigateur et des identifiants.

Amatera est basé sur le voleur d’informations ACR et est disponible en tant que malware-as-a-service (MaaS), devenant de plus en plus sophistiqué.

Points Clés :

  • Combinaison de la méthode “ClickFix” et de fausses vérifications CAPTCHA.
  • Exploitation d’un script App-V légitime (SyncAppvPublishingServer.vbs) pour exécuter PowerShell.
  • Utilisation d’un Google Calendar public pour la distribution de la configuration initiale.
  • Dissimulation des charges utiles via stéganographie dans des images PNG.
  • Amatera, un voleur d’informations évolutif basé sur ACR.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est explicitement mentionnée dans l’article. L’attaque repose sur l’abus de fonctionnalités légitimes de Windows et de Microsoft App-V.

Recommandations :

  • Restreindre l’accès à la boîte de dialogue “Exécuter” de Windows via la stratégie de groupe (Group Policy).
  • Désinstaller les composants App-V lorsqu’ils ne sont pas nécessaires.
  • Activer la journalisation de PowerShell.
  • Surveiller les connexions sortantes pour détecter les incohérences entre l’en-tête Host HTTP ou le SNI TLS et l’adresse IP de destination.

Source

Vous pourriez aimer