Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Australia warns of ClickFix attacks pushing Vidar Stealer malware

1 minute de lecture

Mis à jour :

Menace Vidar Stealer via la technique ClickFix

L’ACSC (Australian Cyber Security Center) a émis une alerte concernant une campagne de cyberattaques ciblant des organisations australiennes via la technique d’ingénierie sociale “ClickFix”. Cette méthode manipule les utilisateurs pour qu’ils exécutent manuellement des commandes PowerShell malveillantes, facilitant ainsi l’installation du logiciel espion Vidar Stealer.

Points clés :

  • Mode opératoire : Les victimes sont redirigées vers des sites WordPress compromis affichant de faux messages de vérification (CAPTCHA ou Cloudflare). L’utilisateur est invité à copier-coller une commande PowerShell malveillante dans son terminal pour “résoudre” un problème de connexion.
  • Logiciel malveillant : Vidar Stealer est un malware d’exfiltration de données (identifiants, cookies, portefeuilles crypto) fonctionnant en mode Malware-as-a-Service.
  • Persistance et évasion : Une fois actif, le malware s’efface du disque pour opérer exclusivement en mémoire vive afin de limiter les traces forensiques. Il récupère ses instructions de commande et contrôle (C2) via des services publics comme Telegram ou Steam.
  • Vulnérabilités : L’attaque exploite principalement la confiance des utilisateurs et des failles dans les thèmes ou extensions de sites WordPress obsolètes (aucune CVE spécifique n’est citée dans l’article, la menace reposant sur l’exécution volontaire de scripts malveillants par l’utilisateur).

Recommandations :

  • Sécurité des systèmes : Restreindre strictement l’utilisation et l’exécution de PowerShell sur les postes de travail et mettre en œuvre une politique d’autorisations d’applications (allow-listing).
  • Maintenance WordPress : Maintenir à jour tous les thèmes et extensions, et supprimer systématiquement les composants inutilisés ou obsolètes.
  • Vigilance utilisateur : Sensibiliser les employés à ne jamais copier ni exécuter de commandes provenant de pop-ups ou de sites web, même en cas de demande de vérification de sécurité.
  • Surveillance : Utiliser les indicateurs de compromission (IoC) fournis par l’ACSC pour auditer les réseaux et détecter toute activité suspecte liée à cette campagne.

Source

Vous pourriez aimer