Microsoft alerte sur une déclinaison de l'attaque ClickFix qui passe par une requête DNS pour installer un malware sur votre ordinateur. La commande nslookup devient le nouveau vecteur d'infection.
Les équipes de Microsoft Threat Intelligence ont repéré une nouvelle méthode d'attaque qui repose sur une commande DNS exécutée via la boîte de dialogue Exécuter de Windows. Les pirates exploitent la commande nslookup pour récupérer le code malveillant en interrogeant un serveur DNS externe qu'ils contrôlent.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quand une commande légitime devient une arme
La technique détournée par les pirates s'appuie sur un outil Windows parfaitement légitime : nslookup. Cet utilitaire permet normalement de vérifier qu'un nom de domaine correspond bien à une adresse IP. Les attaquants en font un canal de livraison pour leur malware. L'utilisateur reçoit d'abord des instructions frauduleuses, généralement via un faux CAPTCHA qui affiche un message d'erreur ou une page qui simule un problème technique nécessitant une "vérification". On lui demande d'ouvrir la boîte de dialogue Exécuter de Windows (accessible via les touches Windows + R) et d'y coller une commande qui commence par "nslookup".
La commande contient deux paramètres : le type de requête DNS (fixé sur "txt" pour récupérer un enregistrement texte) et l'adresse d'un serveur DNS externe contrôlé par les pirates. Au lieu de contacter le serveur DNS habituel de votre ordinateur, la commande interroge ce serveur malveillant. La réponse DNS contient du code PowerShell caché dans le champ texte. Ce dernier est automatiquement filtré puis exécuté par la commande via un pipe (le symbole |) qui enchaîne plusieurs opérations. Microsoft précise que cette approche utilise le DNS comme "canal de communication léger", ce qui permet de masquer l'activité malveillante dans le trafic réseau normal que les antivirus surveillent moins.
Nous apprenions récemment qu'il existait plusieurs variantes de ClickFix, dont CrashFix qui faisait planter Chrome et Edge pour mieux piéger les utilisateurs. Cette nouvelle déclinaison DNS permet de passer outre les pare-feu qui peuvent bloquer les pages web et d'ajouter une couche de validation avant l'exécution du code malveillant…. même si, avouons-le, devoir dégainer Win+R paraît quand même bien suspect ! Le malware téléchargé dans cette campagne est ModeloRAT, un cheval de Troie d'accès à distance codé en Python. Une fois installé, il se copie dans le répertoire AppData de Windows sous le nom "modelo.pyw" et crée un raccourci dans le dossier Démarrage pour se relancer à chaque démarrage de l'ordinateur.
Microsoft recommande de ne jamais exécuter de commandes copiées depuis des sites web, même si le message semble provenir d'un service légitime. Les véritables CAPTCHA ne demandent jamais d'ouvrir une fenêtre système ou de coller du code.
