Alors que Windows enchaîne les correctifs à tour de bras, une campagne malveillante exploite la confusion ambiante pour afficher un faux écran d’installation de mise à jour du système et inciter les utilisateurs à valider eux-mêmes une commande piégée. À la clé, une belle infection signée Rhadamanthys.
Entre la fin de support de Windows 10 le 14 octobre, la disparition de Windows 11 23H2 un mois plus tard, les premiers correctifs ESU publiés en novembre et une série de patchs hors calendrier pour résoudre plusieurs bugs et failles importantes, les utilisateurs et utilisatrices de Windows traversent une période de mises à jour particulièrement dense, ce qui n’aura, de toute évidence, pas échappé aux cybercriminels. Les équipes de Huntress confirment en effet avoir observé une nouvelle campagne ClickFix active depuis le début du mois d’octobre, capable de reproduire à l’identique un écran bleu d’installation censé s’être lancé tout seul et d’amener les victimes à exécuter elles-mêmes la commande malveillante chargée de récupérer l’infostealer Rhadamanthys.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une fausse mise à jour Windows plus vraie que nature
Comme souvent dans ce type de campagne, les victimes atterrissent d’abord sur un site piégé, a priori après avoir suivi une redirection malveillante. Le navigateur passe alors en mode plein écran et affiche un écran bleu d’installation presque indiscernable de celui de Windows. L’animation imite une mise à jour automatique qui se serait lancée sans prévenir, puis annonce qu’une étape manuelle est requise pour terminer le processus. Le site a déjà placé une commande dans le presse-papiers et invite à l’exécuter via la boîte Exécuter (Win+R / Ctrl+V / Entrée), ce qui suffit à déclencher toute la séquence.
Une fois la commande validée, tout s’enchaîne en mémoire. Le système invoque successivement mshta.exe puis PowerShell, deux composants légitimes de Windows souvent détournés dans les attaques, pour récupérer et exécuter un script depuis un serveur contrôlé par les opérateurs. Ce script fait ensuite appel à un petit programme en .NET chargé de reconstruire un fichier PNG trafiqué et chiffré, utilisé pour transporter la charge finale. Les auteurs de la campagne y ont encodé leur code malveillant dans les valeurs de couleur de l’image, méthode qui permet de reconstituer le contenu lors du chargement du PNG tout en évitant de déposer un fichier suspect sur le disque, là où les systèmes de détection basés sur les signatures sont les plus efficaces.
Les chercheurs expliquent également avoir observé une technique d’évasion particulièrement retorse. Avant d’exécuter la moindre instruction utile, l’un des composants enchaîne près de dix mille appels de fonctions vides afin de générer un volume de bruit destiné à compliquer l’accès au code opérationnel et à ralentir le travail d’analyse post-incident mené par les équipes de sécurité.
La dernière étape consiste à injecter Rhadamanthys dans un processus légitime. Cet infostealer, particulièrement actif depuis le début de l’année, est conçu pour collecter une large variété de données sensibles, notamment les identifiants enregistrés dans les navigateurs, les cookies de session permettant de détourner des connexions existantes, les informations liées aux portefeuilles cryptos et d’autres éléments susceptibles d’ouvrir l’accès à des comptes en ligne. Sa légèreté et sa rapidité d’exécution en font un outil apprécié des cybercriminels, qui l’intègrent régulièrement dans des campagnes massives comme celle observée ici.
Une campagne perturbée par Endgame mais des leurres encore actifs
En parallèle de l’analyse technique, les équipes de Huntress ont observé une cohérence marquée entre les différentes itérations de la campagne. Les incidents recensés depuis le début du mois d’octobre pointent tous vers une même adresse IP, avec des fichiers initiaux régulièrement renommés pour relancer la chaîne sans toucher à l’infrastructure sous-jacente. Plusieurs domaines associés circulent depuis des semaines dans la communauté cybersécurité, et le code source des pages, non obfusqué et agrémenté de commentaires en russe, intègre un système de journalisation des interactions permettant aux opérateurs de mesurer l’efficacité de leurs leurres et d’ajuster leurs variantes au fil du temps.
Bref, autant d’indices qui tendent à prouver que la campagne est active depuis un certain temps et qu’elle continue d’évoluer, malgré le démantèlement partiel de Rhadamanthys lors de l’opération Endgame menée le 13 novembre dernier.
Par conséquent, soyez extrêmement vigilants, et rappelez-vous que les mises à jour Windows passent exclusivement par Windows Update, sans jamais requérir d’action manuelle de votre part autre qu’un redémarrage du PC.
Dans les environnements professionnels, vous pouvez aussi freiner ce type de campagne en limitant l’accès à la boîte Exécuter, puisqu’une grande partie du schéma ClickFix repose précisément sur cette interaction. Pensez aussi à surveiller de près le processus explorer.exe pour repérer tout comportement anormal, en particulier s’il lance mshta.exe ou PowerShell sans explication, et, en cas de doute, jetez un œil à la clé RunMRU dans la base de registre, qui conserve l’historique des commandes saisies dans Win+R et peut fournir l’un des seuls indices exploitables en cas d’attaque menée presque entièrement en mémoire.
Source : Huntress
