Une campagne de phishing ClickFix récemment découverte incite les victimes à exécuter des commandes PowerShell malveillantes qui déploient le framework de post-exploitation Havok pour l’accès à distance aux appareils compromis.
ClickFix est une tactique d’ingénierie sociale qui a émergé l’année dernière, où les acteurs de la menace créent des sites Web ou des pièces jointes de phishing qui affichent de fausses erreurs, puis invitent l’utilisateur à cliquer sur un bouton pour les corriger.
Cliquer sur le bouton copiera une commande PowerShell malveillante dans le presse-papiers de Windows, que les utilisateurs sont ensuite invités à coller dans une invite de commande pour « corriger » l’erreur. Cependant, comme prévu, la commande PowerShell malveillante exécutera à la place un script hébergé sur un site distant qui télécharge et installe des logiciels malveillants sur les appareils.
Abus des services cloud Microsoft
Dans une nouvelle campagne ClickFix découverte par Fortiguard Labs de Fortinet, les auteurs de menaces envoient des courriels de phishing indiquant qu’un » avis restreint » est disponible pour examen et que les destinataires doivent ouvrir le document HTML joint (‘Documents.html’) pour l’afficher.
Lorsqu’il est ouvert, le code HTML affiche une fausse erreur 0x8004de86, indiquant qu’il « N’a pas réussi à se connecter au service cloud « One Drive « » et que les utilisateurs doivent corriger l’erreur en mettant à jour le cache DNS manuellement.
Cliquer sur le bouton » Comment réparer » copiera automatiquement une commande PowerShell dans le presse-papiers de Windows, puis affichera des instructions sur la façon de l’exécuter.
Cette commande PowerShell tentera de lancer un autre script PowerShell hébergé sur le serveur SharePoint de l’auteur de la menace.
Fortiguard indique que le script vérifie si l’appareil se trouve dans un environnement de bac à sable en interrogeant le nombre d’appareils dans le domaine Windows. S’il détermine qu’il se trouve dans un bac à sable, le script se terminera.
Sinon, le script modifiera le registre Windows pour ajouter une valeur indiquant que le script a été exécuté sur l’appareil. Il vérifiera ensuite si Python est installé sur l’appareil et, sinon, installera l’interpréteur.
Enfin, un script Python est téléchargé à partir du même site SharePoint et exécuté pour déployer l’infrastructure de commande et de contrôle Havok post-exploitation en tant que DLL injectée.
Havoc est un framework de post-exploitation open source similaire à Cobalt Strike, permettant aux attaquants de contrôler à distance les appareils compromis. Les auteurs de menaces utilisent couramment des frameworks de post-exploitation tels que Havoc pour violer les réseaux d’entreprise, puis se propager latéralement à d’autres appareils sur le réseau.
Dans cette campagne, Havok est configuré pour communiquer avec les services de l’auteur de la menace via l’API Graph de Microsoft, intégrant le trafic malveillant dans les services cloud légitimes. Ce faisant, les attaquants se mêlent aux communications réseau régulières pour échapper à la détection.
Le malware utilise les API SharePoint sur Microsoft Graph pour envoyer et recevoir des commandes, transformant efficacement le compte SharePoint de l’attaquant en un système d’échange de données.
Les attaques ClickFix sont devenues de plus en plus populaires parmi les cybercriminels, qui les utilisent pour déployer une grande variété de logiciels malveillants, notamment infostealers, DarkGate et les chevaux de Troie d’accès à distance.
Les acteurs de la menace ont également commencé à faire évoluer la technique pour les utiliser sur des plateformes de médias sociaux comme Telegram, où un faux service de vérification d’identité nommé « Safeguard » a été utilisé pour inciter les utilisateurs à exécuter des commandes PowerShell qui installent une balise de frappe au cobalt.