Une nouvelle campagne de distribution de logiciels malveillants utilise de fausses erreurs Google Chrome, Word et OneDrive pour inciter les utilisateurs à exécuter des « correctifs » PowerShell malveillants qui installent des logiciels malveillants.
La nouvelle campagne a été observée utilisée par plusieurs acteurs de la menace, y compris ceux derrière ClearFake, un nouveau cluster d’attaques appelé ClickFix, et l’acteur de la menace TA571, connu pour fonctionner comme un distributeur de spam qui envoie de gros volumes d’e-mails, entraînant des infections de logiciels malveillants et de ransomwares.
Les précédentes attaques ClearFake utilisent des superpositions de sites Web qui incitent les visiteurs à installer une fausse mise à jour de navigateur qui installe des logiciels malveillants.
Les auteurs de menaces utilisent également JavaScript dans les pièces jointes HTML et les sites Web compromis dans les nouvelles attaques. Cependant, maintenant, les superpositions affichent de fausses erreurs Google Chrome, Microsoft Word et OneDrive.
Ces erreurs incitent le visiteur à cliquer sur un bouton pour copier un « correctif » PowerShell dans le presse-papiers, puis à le coller et à l’exécuter dans une boîte de dialogue Exécuter: ou une invite PowerShell.
« Bien que la chaîne d’attaque nécessite une interaction significative de l’utilisateur pour réussir, l’ingénierie sociale est suffisamment intelligente pour présenter à quelqu’un ce qui ressemble à un vrai problème et à une solution simultanément, ce qui peut inciter un utilisateur à agir sans tenir compte du risque », prévient un nouveau rapport de ProofPoint.
Les charges utiles vues par Proofpoint incluent DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un pirate de presse-papiers et un voleur Lumma.
Le « correctif » PowerShell conduit à des logiciels malveillants
Les analystes de Proofpoint ont observé trois chaînes d’attaques qui se différencient principalement sur leurs étapes initiales, seule la première n’étant pas attribuée avec une grande confiance à TA571.
Dans ce premier cas, associé aux acteurs de la menace derrière ClearFake, les utilisateurs visitent un site Web compromis qui charge un script malveillant hébergé sur la blockchain via les contrats de chaîne intelligente de Binance.
Ce script effectue quelques vérifications et affiche un faux avertissement Google Chrome indiquant un problème d’affichage de la page Web. La boîte de dialogue invite ensuite le visiteur à installer un « certificat racine » en copiant un script PowerShell dans le presse-papiers Windows et en l’exécutant dans une console Windows PowerShell (Admin).
Lorsque le script PowerShell est exécuté, il effectue diverses étapes pour confirmer que le périphérique est une cible valide, puis il télécharge des charges utiles supplémentaires, comme indiqué ci-dessous.
- Vide le cache DNS.
- Supprime le contenu du presse-papiers.
- Affiche un message de leurre.
- Télécharge un autre script PowerShell distant, qui effectue des vérifications anti-VM avant de télécharger un voleur d’informations.
La deuxième chaîne d’attaque est associée à la campagne « Klickfix » et utilise une injection sur des sites Web compromis qui crée un iframe pour superposer une autre fausse erreur Google Chrome.
Les utilisateurs sont invités à ouvrir « Windows PowerShell (Admin) » et à coller le code fourni, conduisant aux mêmes infections mentionnées ci-dessus.
Enfin, une chaîne d’infection par courrier électronique utilisant des pièces jointes HTML ressemblant à des documents Microsoft Word invite les utilisateurs à installer l’extension « Word Online » pour afficher correctement le document.
Le message d’erreur propose les options « Comment réparer » et « Correction automatique », avec « Comment réparer » en copiant une commande PowerShell codée en base64 dans le presse-papiers, demandant à l’utilisateur de la coller dans PowerShell.
Correction automatique « utilise le protocole search-ms pour afficher un correctif hébergé par WebDAV ».msi » ou » réparer.fichier » vbs » sur un partage de fichiers contrôlé par un attaquant distant.
Dans ce cas, les commandes PowerShell téléchargent et exécutent un fichier MSI ou un script VBS, entraînant respectivement des infections Matanbuchus ou DarkGate.
Dans tous les cas, les acteurs de la menace exploitent le manque de sensibilisation de leurs cibles aux risques liés à l’exécution de commandes PowerShell sur leurs systèmes.
Ils profitent également de l’incapacité de Windows à détecter et bloquer les actions malveillantes initiées par le code collé.
Les différentes chaînes d’attaque montrent que TA571 expérimente activement de multiples méthodes pour améliorer l’efficacité et trouver plus de voies d’infection pour compromettre un plus grand nombre de systèmes.