ClickFix est en train de devenir un écosystème complet de distribution de malwares, avec de nouveaux chargeurs, de nouvelles méthodes de diffusion et une capacité d’adaptation remarquable. Morphisec, BlueVoyant et Huntress les ont étudiés et ont notamment remarqué que les secteurs les plus touchés étaient ceux de l’éducation, de la finance, du droit, de l’architecture et de la construction.
ClickFix est une technique d’ingénierie sociale qui affiche à l’utilisateur une fausse alerte système ou un faux CAPTCHA, puis copie automatiquement une commande malveillante dans son presse-papiers. En avril et mai derniers, trois groupes ont chacun déployé un nouveau chargeur de malwares via ce vecteur.
Elle circule depuis au moins 2024.
Pour déclencher une infection, il suffit qu’un utilisateur colle dans la fenêtre Exécuter de Windows ou dans PowerShell une commande déjà copiée à son insu dans son presse-papiers. Aucun fichier suspect ne transite par le réseau. Le système d’exploitation exécute la commande via ses propres outils légitimes, ce qui déjoue les antivirus classiques.
On comprend pourquoi, depuis le début de cette année, trois opérations criminelles distinctes ont tiré parti de ce mécanisme avec des chargeurs inédits, des cibles variées et des objectifs finaux très différents.
Le dada de BabaDeda : l’éducation et la finance avec un crypteur furtif
BabaDeda était connu depuis 2021 pour dissimuler des charges malveillantes dans des installateurs d’apparence légitime. En avril, Shmuel Uzan, chercheur chez Morphisec, a publié l'analyse d'une version remaniée qui cible les secteurs de l’éducation et de la finance. Techniquement, on y trouve un composant nouveau baptisé Storage Crypter, qui lit les données malveillantes depuis des fichiers de stockage externes à l’apparence anodine, comme un fichier nommé « List. Control.dat ». Plutôt que d’embarquer les charges directement dans l’exécutable, Storage Crypter les externalise, de sorte que les outils d’analyse statique n’ont plus rien à inspecter dans le binaire principal.
Une première chaîne d’infection livre un backdoor . NET capable d’extraire cookies, historiques de navigation, identifiants enregistrés et clés de chiffrement locales de navigateurs. Une seconde dépose une archive ZIP qui exploite du DLL side-loading pour installer DanaBot et SectopRAT, deux chevaux de Troie d’accès à distance répandus dans les opérations cybercriminelles.
Potemkin charge ses modules en mémoire et contourne le chiffrement de Chromium
Potemkin est un chargeur 64 bits jusqu’alors inconnu, découvert par Anna Pham et Zach Rogers chez Huntress. Pour trouver son serveur de commande, il génère des domaines algorithmiquement plutôt que d’en inscrire un en dur dans son code. Ses modules s’exécutent directement en mémoire vive, sans jamais toucher le disque, ce qui rend leur détection très difficile.
Un paquet MSI dépose une application HTML qui installe ensuite EtherRAT et RMMProject, une DLL scriptable en Lua. RMMProject donne aux attaquants un contrôle à distance de l’écran, vole les données de remplissage automatique en contournant les protections App-Bound Encryption de Chromium, prend des captures d’écran et peut télécharger de nouveaux modules depuis un serveur distant.
Lorem Ipsum adopte ClickFix après que Microsoft a révoqué ses certificats de signature
Lorem Ipsum née autrement. Depuis février, BlueVoyant suivait sa progression. À l’époque, les opérateurs livraient des installateurs Microsoft Teams piégés, chacun signé avec un vrai certificat Microsoft Trusted Signing obtenu frauduleusement.
Fin mai, Microsoft a démantelé Fox Tempest, un fournisseur de certificats de signature à destination de cybercriminels, et révoqué plus de 1 000 certificats frauduleux. En quelques jours, les opérateurs ont abandonné les installateurs signés pour des leurres ClickFix hébergés sur des sites WordPress compromis.
Rapid Brigantine, un groupe adepte du ransomware
BlueVoyant attribue désormais avec un fort niveau de confiance cette campagne à Rapid Brigantine, aussi suivi sous les noms Vanilla Tempest, DEV-0832 et Vice Society, actif depuis au moins mi-2022 et lié à plusieurs familles de rançongiciels dont Rhysida, BlackCat et Zeppelin.
Les leurres imitent une mise à jour de sécurité du navigateur Edge sur au moins cinq sites WordPress piratés sur le droit, l’architecture et la construction.
La commande ClickFix télécharge une archive ZIP accompagnée d’une version de Node.js datant de 2017, la 7.10.1. Les solutions de sécurité modernes inspectent rarement les comportements de runtimes aussi anciens, si bien que les charges JavaScript embarquées dans l’archive s’exécutent sans déclencher d’alerte. Un script de persistance par DLL side-loading installe ensuite le backdoor Lorem Ipsum, avant un transfert vers les outils de post-exploitation de Rapid Brigantine, lesquels précèdent habituellement le déploiement du rançongiciel Rhysida.
Le passage à ClickFix en mai dernier n’est somme toute qu'un repli contraint après la neutralisation d’un prestataire de faux certificats.
