Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging
Mis à jour :
Voici un compte rendu concis de l’article :
Titre : Une nouvelle méthode d’attaque “ClickFix” exploite le DNS pour le téléchargement de malware
Points clés :
- Une nouvelle variante de l’attaque “ClickFix” utilise le DNS pour récupérer des charges utiles de malware.
- Les attaquants incitent les victimes à exécuter une commande
nslookupvia la boîte de dialogue “Exécuter” de Windows. - Cette commande déclenche une requête DNS personnalisée vers un serveur externe, dont la réponse (filtrée) contient la commande suivante à exécuter.
- Cette méthode permet aux attaquants de masquer leur activité dans le trafic réseau normal et de servir de canal léger pour la transmission d’instructions ou de données.
- L’attaque aboutit au téléchargement d’un script malveillant et à l’installation d’un RAT (Remote Access Trojan) nommé ModeloRAT, qui assure sa persistance via un raccourci dans le dossier de démarrage de Windows.
- La popularité de ClickFix repose sur l’ingénierie sociale, exploitant la confiance des utilisateurs dans des instructions ressemblant à des étapes de dépannage ou de vérification.
Vulnérabilités (générales, aucune CVE spécifique mentionnée pour cette technique) :
- L’exploitation de la confiance des utilisateurs et des techniques d’ingénierie sociale, plutôt que des failles techniques directes.
- L’utilisation du DNS comme canal de communication léger et discret.
Recommandations :
- Être vigilant face aux demandes d’exécution de commandes, même si elles semblent légitimes (par exemple, pour résoudre un problème ou effectuer une vérification).
- Se méfier des pop-ups, des avertissements de CAPTCHA, ou des instructions pour résoudre des problèmes informatiques inexistants qui demandent d’exécuter des commandes.
- Assurer une bonne hygiène de cybersécurité et des contrôles de sécurité robustes pour détecter et prévenir l’exécution de charges utiles malveillantes.