Les attaques ClickFix gagnent du terrain parmi les acteurs de la menace, avec plusieurs groupes de menaces persistantes avancées (APT) de Corée du Nord, d’Iran et de Russie adoptant la technique lors de récentes campagnes d’espionnage.
ClickFix est une tactique d’ingénierie sociale dans laquelle des sites Web malveillants se font passer pour des logiciels légitimes ou des plates-formes de partage de documents. Les cibles sont attirées par le phishing ou la publicité malveillante et affichent de faux messages d’erreur qui prétendent qu’un document ou un téléchargement a échoué.
Les victimes sont ensuite invitées à cliquer sur un bouton « Réparer », qui leur demande d’exécuter un script PowerShell ou en ligne de commande, conduisant à l’exécution de logiciels malveillants sur leurs appareils.
L’équipe de renseignement sur les menaces de Microsoft a rapporté en février dernier que l’acteur étatique nord-coréen » Kimsuky « l’utilisait également dans le cadre d’une fausse page Web » d’enregistrement d’appareils ».
Un nouveau rapport de Proofpoint révèle qu’entre fin 2024 et début 2025, Kimsuky (Corée du Nord), MuddyWater (Iran), ainsi qu’APT28 et UNK_RemoteRogue (Russie) ont tous utilisé ClickFix dans leurs opérations d’espionnage ciblées.
Cliquez sur Corriger l’activation des opérations de renseignement
À commencer par Kimsuky, les attaques ont été observées entre janvier et février 2025, ciblant des groupes de réflexion axés sur la politique liée à la Corée du Nord.
Les pirates de la RPDC ont utilisé des courriels coréens, japonais ou anglais usurpés pour apparaître comme si l’expéditeur était un diplomate japonais pour initier le contact avec la cible.
Après avoir établi la confiance, les attaquants ont envoyé un fichier PDF malveillant lié à un faux lecteur sécurisé qui a incité la cible à « s’inscrire » en copiant manuellement une commande PowerShell dans son terminal.
Cela récupérait un deuxième script qui configurait des tâches planifiées pour la persistance et téléchargeait QuasarRAT tout en affichant un PDF leurre à la victime pour le détournement.
Les attaques Muddy Water ont eu lieu à la mi-novembre 2024, ciblant 39 organisations au Moyen-Orient avec des courriels déguisés en alertes de sécurité Microsoft.
Les destinataires ont été informés qu’ils devaient appliquer une mise à jour de sécurité critique en exécutant PowerShell en tant qu’administrateur sur leurs ordinateurs. Cela a entraîné des auto-infections avec « Level », un outil de surveillance et de gestion à distance (RMM) qui peut faciliter les opérations d’espionnage.
Le troisième cas concerne le groupe de menaces russe INC_Remote Rogue, qui a ciblé deux organisations étroitement liées à un grand fabricant d’armes en décembre 2024.
Les courriels malveillants envoyés à partir de serveurs Zimbra compromis usurpaient Microsoft Office. En cliquant sur le lien intégré, les cibles ont été redirigées vers une fausse page Microsoft Word avec des instructions en russe et un didacticiel vidéo YouTube.
L’exécution du code exécutait JavaScript qui lançait PowerShell pour se connecter à un serveur exécutant l’infrastructure Empire command and control (C2).
Proofpoint rapporte qu’APT28, une unité GRU, a également utilisé ClickFix dès octobre 2024, en utilisant des e-mails de phishing imitant une feuille de calcul Google, une étape reCAPTCHA et des instructions d’exécution PowerShell transmises via une fenêtre contextuelle.
Les victimes exécutant ces commandes ont mis en place sans le savoir un tunnel SSH et lancé Metasploit, fournissant aux attaquants un accès par porte dérobée à leurs systèmes.
Le correctif par clic reste une méthode efficace, comme en témoigne son adoption par plusieurs groupes soutenus par l’État, en raison du manque de sensibilisation à l’exécution de commandes non sollicitées.
En règle générale, les utilisateurs ne doivent jamais exécuter de commandes qu’ils ne comprennent pas ou copier à partir de sources en ligne, en particulier avec des privilèges d’administrateur.