Des chercheurs en sécurité ont identifié une nouvelle campagne d’attaques ClickFix basée sur des pages Web imitant l’installation d’une mise à jour Windows, tout en dissimulant le malware dans une image au format PNG. Faisons le point sur les dernières tendances de cette fraude au copier-coller.

Le point de départ : un faux écran de mise à jour Windows

Pour rappel, ClickFix est une technique d’attaque par ingénierie sociale particulièrement redoutable (et à la mode) : l’attaquant convainc la victime de copier-coller puis d’exécuter des commandes dans l’invite de commandes Windows, sous prétexte de résoudre un problème système ou de valider son identité.

Dans le cas présent, les chercheurs de chez Huntress affirment avoir identifié plusieurs campagnes reposant sur deux scénarios :

• Une page classique de type “human verification” (vérification humaine),
• Une fausse mise à jour de sécurité Windows en plein écran, très crédible.

Ce second scénario est considéré comme une nouvelle variante par les chercheurs, et nous allons voir pourquoi. Dans le cas de la fausse page Windows Update, la victime est invitée à appuyer sur des touches précises afin d’exécuter des commandes malveillantes grâce à du JavaScript.

“Cette nouvelle variante imite la page d’accueil bleue de Windows Update en plein écran, affichant des animations réalistes « Mise à jour en cours » qui finissent par inviter l’utilisateur à suivre le modèle standard ClickFix : ouvrir l’invite Exécuter (Win+R), puis coller et exécuter la commande malveillante.“, peut-on lire.

Ce qui est inhabituel, c’est l’utilisation de la stéganographie dans le contexte d’une attaque ClickFix pour cacher le malware final dans des images. Un malware qui d’ailleurs prend la forme d’un infostealer : LummaC2 ou Rhadamanthys, selon les cas observés.

“Plutôt que de simplement ajouter des données malveillantes à un fichier, le code malveillant est directement encodé dans les données pixel des images PNG, en s’appuyant sur des canaux de couleur spécifiques pour reconstruire et décrypter la charge utile en mémoire.“, précisent les chercheurs dans leur rapport.

Une chaîne d’infection multi-étapes

La livraison du malware s’appuie sur plusieurs composants natifs sur un système Windows, notamment : mshta.exe, un binaire capable d’exécuter un JavaScript malveillant, divers scripts PowerShell, et une assembly .NET, le Stego Loader, chargé d’extraire le payload caché dans les images.

D’ailleurs, tout commence par l’exécution d’une commande malveillante via mshta.exe, ce qui va ensuite exécuter un code PowerShell sur la machine locale. Le rapport fournit cet exemple : .

“Nous pouvons observer que les noms des variables et des fonctions sont longs afin de brouiller l’analyse. De plus, ce chargeur chiffre en AES et encode en base64 toutes les chaînes de configuration, le code source C# et l’image utilisée pour extraire le shellcode.“, précisent les chercheurs. L’extraction du shellcode depuis l’image PNG va permettre d’injecter le logiciel malveillant au niveau de Windows. Il s’agit ici de LummaC2, un voleur de données (mots de passe enregistrés dans les navigateurs, cookies de session, etc.).

Le rapport d’Huntress met aussi en avant l’usage d’une technique d’évasion dynamique où la fonction d’entrée appelle plus de 10 000 fonctions vides pour rendre plus difficile l’analyse. L’exécution réelle arrive seulement après l’exécution de ces appels.

“Il convient de noter que cette analyse a été menée avant et après la récente opération Endgame menée par les forces de l’ordre contre l’infrastructure Rhadamanthys, annoncée le 13 novembre.“, précise le rapport. Un coup d’arrêt a donc été porté récemment à cette opération.

Ces attaques montrent une nouvelle fois que l’humain reste le maillon faible et donc une cible privilégiée. Les cybercriminels, quant à eux, font toujours preuve de créativité pour contourner les systèmes de défense.

Source