Researcher Analyzes 3,000 Live ClickFix Payloads, Exposing API-Driven Malware Delivery
Mis à jour :
L’évolution industrielle de ClickFix : Vers des malwares à la demande
La technique d’ingénierie sociale “ClickFix”, qui incite les utilisateurs à copier-coller des commandes malveillantes sous couvert de vérification de sécurité (type CAPTCHA), a connu une industrialisation majeure. Désormais, ces attaques reposent sur des serveurs API capables de générer des charges utiles uniques et dynamiques, rendant la détection par signature quasiment impossible.
Points clés :
- Industrialisation : Les attaquants utilisent des plateformes « as-a-service » qui produisent des commandes personnalisées à la demande, adaptées à la langue et au système d’exploitation de la victime (Windows ou macOS).
- Obfuscation dynamique : Les payloads sont enveloppés dans diverses couches (Base64, AES, etc.) pour éviter les détections statiques.
- Évasion d’AMSI : Une nouvelle méthode consiste à télécharger un fichier légitime dans le dossier “Téléchargements”, puis à exécuter une ligne de commande “orchestratrice” légère qui extrait et lance le script, échappant ainsi à l’analyse proactive de l’AMSI (Antimalware Scan Interface).
- Diversification : La menace est exploitée tant par des cybercriminels que par des groupes étatiques (APT28, MuddyWater, Kimsuky).
- Discrétion : L’usage du terminal Windows au lieu de la fenêtre “Exécuter” (Win+R) permet d’éviter les traces dans le registre (RunMRU).
Vulnérabilités :
- Technique répertoriée dans le cadre MITRE ATT&CK sous l’identifiant T1204.004 (User Execution: Malicious File).
- Le vecteur principal n’est pas une faille logicielle (CVE), mais une faille humaine exploitant la confiance de l’utilisateur dans les interfaces de type « copier-coller ».
Recommandations :
- Surveillance comportementale : Au lieu de bloquer le texte du presse-papier, surveillez les chaînes de processus suspectes :
explorer.exeouWindowsTerminal.exelançantpowershell.exe,cmd.exeoumsiexec.exeavec une activité réseau immédiate. - Contrôle des applications : Restreindre strictement l’exécution des interpréteurs de scripts (PowerShell, CMD) par des règles EDR.
- Éducation des utilisateurs : Interdire formellement le copier-coller de commandes provenant de pages Web vers le terminal ou la boîte « Exécuter ».
- Blocage réseau : Surveiller les connexions vers les domaines suspects identifiés comme serveurs de payloads (ex:
comicstar[.]lat,babybon[.]cfd,merkantalolol[.]asia).
