Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New ClickFix attacks abuse Windows App-V scripts to push malware

2 minute de lecture

Mis à jour :

Campagne ClickFix utilisant des scripts App-V pour diffuser le malware Amatera

Une nouvelle campagne malveillante exploite la méthode ClickFix, combinée à une fausse vérification CAPTCHA et à des scripts signés Microsoft Application Virtualization (App-V), afin de diffuser le logiciel espion d’informations Amatera. Les scripts App-V, qui font partie des fonctionnalités d’entreprise de Windows permettant d’exécuter des applications dans des environnements virtuels isolés, sont utilisés ici comme un outil “living-off-the-land” pour masquer l’exécution de PowerShell via un composant Microsoft légitime.

La campagne débute par une fausse page de vérification de captcha demandant à la victime de copier-coller et d’exécuter une commande dans la boîte de dialogue “Exécuter” de Windows. Cette commande abuse du script légitime SyncAppvPublishingServer.vbs utilisé pour gérer les applications virtualisées. Le script est exécuté par wscript.exe, un binaire de confiance, qui lance ensuite PowerShell. Une vérification est effectuée pour s’assurer que la commande a été exécutée manuellement et que le système n’est pas un environnement d’analyse automatisée (sandbox). En cas de détection d’un tel environnement, l’exécution est retardée indéfiniment.

Le malware récupère ensuite des données de configuration à partir d’un fichier Google Calendar public, où les informations sont encodées en Base64 dans un événement spécifique. Des étapes ultérieures impliquent le lancement d’un processus PowerShell caché en 32 bits via WMI, le décryptage de charges utiles multiples en mémoire. L’infection utilise ensuite la stéganographie pour dissimuler des charges utiles PowerShell chiffrées dans des images PNG hébergées sur des CDN, qui sont récupérées dynamiquement. Les données sont extraites, décryptées, décompressées et exécutées entièrement en mémoire. Finalement, un shellcode natif est lancé pour exécuter le logiciel espion Amatera. Une fois actif, Amatera se connecte à une adresse IP prédéfinie pour obtenir des informations supplémentaires et attend d’autres charges utiles.

Amatera est classé comme un logiciel espion capable de collecter des données de navigation et des identifiants, et est basé sur le logiciel espion ACR. Il est disponible en tant que service (malware-as-a-service).

Points clés :

  • Utilisation de la méthode ClickFix combinée à de fausses vérifications CAPTCHA.
  • Exploitation de scripts Microsoft Application Virtualization (App-V) signés pour masquer l’exécution de PowerShell.
  • Le malware Amatera, un logiciel espion d’informations, est la charge utile finale.
  • Récupération de configuration via un fichier Google Calendar public.
  • Dissimulation des charges utiles via la stéganographie dans des images PNG.
  • Le malware est basé sur ACR et disponible en tant que Malware-as-a-Service.

Vulnérabilités (non spécifiées par CVE dans l’article) :

  • Absence de CVE spécifiques mentionnées, mais l’attaque exploite des fonctionnalités légitimes de Windows (App-V, PowerShell, WMI) et des techniques d’évasion.

Recommandations :

  • Restreindre l’accès à la boîte de dialogue “Exécuter” de Windows via la stratégie de groupe (Group Policy).
  • Supprimer les composants App-V s’ils ne sont pas nécessaires.
  • Activer la journalisation de PowerShell.
  • Surveiller les connexions sortantes pour détecter les incohérences entre l’en-tête HTTP Host ou le TLS SNI et l’adresse IP de destination.

Source

Vous pourriez aimer