Researcher Analyzes 3,000 Live ClickFix Payloads, Exposing API-Driven Malware Delivery

1 minute de lecture

Mis à jour :

L’évolution industrielle de ClickFix : Vers des malwares à la demande

La technique d’ingénierie sociale “ClickFix”, qui incite les utilisateurs à copier-coller des commandes malveillantes sous couvert de vérification de sécurité (type CAPTCHA), a connu une industrialisation majeure. Désormais, ces attaques reposent sur des serveurs API capables de générer des charges utiles uniques et dynamiques, rendant la détection par signature quasiment impossible.

Points clés :

  • Industrialisation : Les attaquants utilisent des plateformes « as-a-service » qui produisent des commandes personnalisées à la demande, adaptées à la langue et au système d’exploitation de la victime (Windows ou macOS).
  • Obfuscation dynamique : Les payloads sont enveloppés dans diverses couches (Base64, AES, etc.) pour éviter les détections statiques.
  • Évasion d’AMSI : Une nouvelle méthode consiste à télécharger un fichier légitime dans le dossier “Téléchargements”, puis à exécuter une ligne de commande “orchestratrice” légère qui extrait et lance le script, échappant ainsi à l’analyse proactive de l’AMSI (Antimalware Scan Interface).
  • Diversification : La menace est exploitée tant par des cybercriminels que par des groupes étatiques (APT28, MuddyWater, Kimsuky).
  • Discrétion : L’usage du terminal Windows au lieu de la fenêtre “Exécuter” (Win+R) permet d’éviter les traces dans le registre (RunMRU).

Vulnérabilités :

  • Technique répertoriée dans le cadre MITRE ATT&CK sous l’identifiant T1204.004 (User Execution: Malicious File).
  • Le vecteur principal n’est pas une faille logicielle (CVE), mais une faille humaine exploitant la confiance de l’utilisateur dans les interfaces de type « copier-coller ».

Recommandations :

  • Surveillance comportementale : Au lieu de bloquer le texte du presse-papier, surveillez les chaînes de processus suspectes : explorer.exe ou WindowsTerminal.exe lançant powershell.exe, cmd.exe ou msiexec.exe avec une activité réseau immédiate.
  • Contrôle des applications : Restreindre strictement l’exécution des interpréteurs de scripts (PowerShell, CMD) par des règles EDR.
  • Éducation des utilisateurs : Interdire formellement le copier-coller de commandes provenant de pages Web vers le terminal ou la boîte « Exécuter ».
  • Blocage réseau : Surveiller les connexions vers les domaines suspects identifiés comme serveurs de payloads (ex: comicstar[.]lat, babybon[.]cfd, merkantalolol[.]asia).

Source