ClickFix Campaign Abuses Compromised Sites to Deploy MIMICRAT Malware

Campagne ClickFix : Diffusion de RAT via des Sites Compromis

Une campagne de cybersécurité active, nommée ClickFix, utilise des sites web légitimes compromis comme infrastructure de diffusion pour déployer un nouveau cheval de Troie d’accès à distance (RAT) inconnu jusqu’à présent, baptisé MIMICRAT (également connu sous le nom d’AstarionRAT). Cette opération sophistiquée exploite des sites variés, de multiples industries et dans différentes régions géographiques.

La méthode d’infection commence par l’injection de code JavaScript malveillant sur des services légitimes (comme bincheck[.]io, un site de validation de numéro d’identification bancaire). Ce code charge un script PHP qui, à son tour, présente un leurre : une fausse page de vérification Cloudflare demandant à l’utilisateur d’exécuter une commande dans la boîte de dialogue “Exécuter” de Windows.

L’exécution de cette commande déclenche une chaîne complexe de scripts PowerShell. Ces scripts contournent les mécanismes de sécurité Windows tels que le traçage d’événements (ETW) et l’interface d’analyse antimalware (AMSI), avant de déposer un chargeur de shellcode écrit en Lua. Le script Lua déchiffre et exécute ensuite en mémoire le shellcode final, qui installe MIMICRAT.

MIMICRAT est un RAT personnalisé écrit en C++ capable de diverses actions post-exploitation, incluant l’usurpation de jetons Windows, le tunneling SOCKS5, et répond à 22 commandes distinctes. Il communique avec son serveur de commande et contrôle (C2) via HTTPS sur le port 443, en utilisant des profils de trafic HTTP qui imitent le trafic légitime d’analyse web, rendant sa détection plus difficile.

La campagne fait preuve d’une portée étendue, avec du contenu localisé dynamiquement dans 17 langues pour s’adapter aux paramètres de langue du navigateur des victimes. Les cibles identifiées incluent une université basée aux États-Unis et des utilisateurs sinophones, suggérant une campagne de ciblage opportuniste à grande échelle. Des recoupements tactiques et infrastructurels ont également été observés avec une autre campagne ClickFix menant au déploiement du chargeur Matanbuchus 3.0, qui sert ensuite de vecteur pour le même RAT. L’objectif final est suspecté d’être le déploiement de rançongiciels ou l’exfiltration de données.

Points Clés :

• Infrastructure : Utilisation de sites web légitimes compromis comme vecteurs de diffusion.
• Leurre : Fausse page de vérification Cloudflare incitant à exécuter une commande.
• Techniques d’évasion : Contournement d’ETW et d’AMSI via des scripts PowerShell.
• Chargeur : Script Lua pour le chargement du shellcode.
• Malware final : MIMICRAT (AstarionRAT), un RAT sophistiqué avec des capacités avancées.
• Communication C2 : HTTPS sur le port 443, avec des profils ressemblant à du trafic web légitime.
• Portée : Support de 17 langues, ciblage opportuniste mondial.
• Objectifs potentiels : Rançongiciels, exfiltration de données.

Vulnérabilités :

L’article ne mentionne pas de vulnérabilités spécifiques (CVE) dans les logiciels des victimes. L’attaque repose sur l’exploitation de sites web légitimes compromis, suggérant que les vulnérabilités utilisées sont celles des systèmes de gestion de contenu (CMS) ou des plugins de ces sites, ainsi que des vulnérabilités potentielles dans les services externes utilisés par ces sites.

Recommandations :

• Surveillance des sites web : Mettre en place une surveillance proactive des sites web pour détecter toute modification suspecte ou injection de code malveillant.
• Sécurité des CMS et plugins : Maintenir à jour les systèmes de gestion de contenu (CMS) et tous les plugins/thèmes associés pour corriger les vulnérabilités connues.
• Filtrage réseau : Renforcer le filtrage réseau pour bloquer les communications suspectes vers des serveurs C2 identifiés.
• Sensibilisation des utilisateurs : Éduquer les utilisateurs sur les risques liés à l’exécution de commandes inconnues, même lorsqu’elles proviennent d’un site web apparemment légitime.
• Solutions de sécurité endpoint : Utiliser des solutions de sécurité endpoint à jour capables de détecter et de bloquer les techniques d’évasion comme le contournement d’AMSI et d’ETW, ainsi que les malwares inconnus.
• Analyse du trafic : Surveiller le trafic sortant pour détecter les communications anormales sur le port 443 qui ne correspondent pas aux profils de trafic légitimes.

Source