Le gang de ransomwares Interlock utilise désormais des attaques ClickFix qui usurpent l’identité d’outils informatiques pour violer les réseaux d’entreprise et déployer des logiciels malveillants de cryptage de fichiers sur les appareils.
ClickFix est une tactique d’ingénierie sociale où les victimes sont amenées à exécuter des commandes PowerShell dangereuses sur leurs systèmes pour soi-disant corriger une erreur ou se vérifier, entraînant l’installation de logiciels malveillants.
Bien que ce ne soit pas la première fois que ClickFix est lié à des infections par ransomware, la confirmation de l’interverrouillage montre une tendance croissante chez ces types d’acteurs de la menace utilisant cette tactique.
Interlock est une opération de ransomware lancée fin septembre 2024, ciblant les serveurs FreeBSD et les systèmes Windows.
Interlock n’est pas censé fonctionner comme un modèle de ransomware en tant que service. Pourtant, il maintient un portail de fuite de données sur le dark Web pour augmenter la pression sur les victimes, exigeant des paiements allant de centaines de milliers de dollars à des millions.
Du ClickFix au ransomware
Dans le passé, Interlock utilisait de fausses mises à jour de navigateur et de client VPN pour installer des logiciels malveillants et violer les réseaux.
Selon les chercheurs de Sekoia, le gang de ransomwares Interlock a commencé à utiliser des attaques ClickFix en janvier 2025.
Interlock a utilisé au moins quatre URL pour héberger de fausses invites CAPTCHA qui indiquent aux visiteurs d’exécuter une commande sur leur ordinateur pour se vérifier et télécharger un outil promu.
Les chercheurs disent avoir détecté le captcha malveillant sur quatre sites différents, imitant Microsoft ou des portails de scanner IP avancés:
- microsoft-équipes [.] avec / vérification supplémentaire.en html
- micro-équipes[.] avec / vérification supplémentaire.en html
- ecologilives[.] avec / vérification supplémentaire.en html
- scanner avancé [.] avec / vérification supplémentaire.en html
Cependant, seul le site se faisant passer pour Advanced IP Scanner, un outil d’analyse IP populaire couramment utilisé par le personnel informatique, a conduit au téléchargement d’un programme d’installation malveillant.
Cliquer sur le bouton « Réparer » copie la commande PowerShell malveillante dans le presse-papiers de la victime. S’il est exécuté dans une invite de commande ou une boîte de dialogue d’exécution Windows, il téléchargera une charge utile PyInstaller de 36 Mo.
En même temps, le site Web légitime Advance IP Scanner s’ouvre dans une fenêtre de navigateur pour réduire les soupçons.
La charge utile malveillante installe une copie légitime du logiciel qu’elle prétend être et exécute simultanément un script PowerShell intégré qui s’exécute dans une fenêtre masquée.
Ce script enregistre une clé d’exécution dans le Registre Windows pour la persistance, puis collecte et exfiltrera les informations système, y compris la version du système d’exploitation, le niveau de privilège de l’utilisateur, les processus en cours d’exécution et les lecteurs disponibles.
Sekoia a observé que le commandement et le contrôle (C2) répondaient avec diverses charges utiles, notamment LummaStealer, BerserkStealer, des enregistreurs de frappe et le RAT Interlock.
Ce dernier est un cheval de Troie simple qui peut être configuré dynamiquement, prenant en charge l’exfiltration de fichiers, l’exécution de commandes shell et l’exécution de DLL malveillantes.
Après la compromission initiale et le déploiement de RAT, les opérateurs de verrouillage ont utilisé des informations d’identification volées pour se déplacer latéralement via RDP, tandis que Sekoia a également vu PuTTY, AnyDesk et LogMeIn utilisés dans certaines attaques.
La dernière étape avant l’exécution du ransomware est l’exfiltration des données, les fichiers volés étant téléchargés vers des objets Blob Azure contrôlés par l’attaquant.
La variante Windows de Interlock est configurée (via une tâche planifiée) pour s’exécuter quotidiennement à 20h00, mais grâce au filtrage basé sur l’extension de fichier, cela ne provoque pas plusieurs couches de cryptage mais sert de mesure de redondance.
Sekoia rapporte également que la demande de rançon a également évolué, les dernières versions se concentrant davantage sur l’aspect juridique de la violation de données et les conséquences réglementaires si les données volées sont rendues publiques.
Les attaques ClickFix ont maintenant été adoptées par un large éventail d’acteurs de la menace, y compris d’autres gangs de ransomwares et des pirates nord-coréens.
Le mois dernier, Sekoia a découvert que le tristement célèbre groupe de piratage nord-coréen Lazarus utilisait des attaques ClickFix ciblant les demandeurs d’emploi dans l’industrie de la crypto-monnaie.