Aktuelle Social-Engineering-Angriffe a choisi de créer cette tactique simple à un endroit précis.
La cybercriminalité combine des sites Web optimisés avec des méthodes d’ingénierie sociale plus raffinées et un nouveau programme malveillant d’infostealer. Il s’agit de l’application sous le nom ClickFix – et très efficace : dans une campagne unique, plus de 250 sites Web WordPress ont été visités dans deux pays.
Lors de cette campagne de sensibilisation, dans les programmes de développement des programmes d’apprentissage, vous serez en mesure de mettre en parallèle Microsoft un autre Angriff, le terminal Windows au niveau du logiciel de gestion – ainsi que les boîtes de dialogue les plus connues – maintenant.
La campagne WordPress a été activée depuis décembre 2025 et s’est retrouvée confrontée à des problèmes de capture Cloudflare-CAPTCHA, comme la recherche de logiciels de sécurité Rapid7. Les sites Web WordPress compatibles sont des portails régionaux, des sites Web locaux et des sites Web officiels d’un candidat du Sénat américain.
« Le gros problème de colère au cours d’une installation WordPress unique nous permet d’automatiser une partie de la colère et c’est une personne bien organisée, de longues mains criminelles », dit-il dans le Bericht.
Trois fois plus getarnte Charges utiles
Techniquement, j’ai mis à disposition la campagne WordPress-ClickFix trois charges utiles Infostealer distinctes – deux fois inconnues – et une infrastructure de domaine disponible depuis juillet 2025.
Vous pouvez utiliser votre code JavaScript pour l’optimiser, afin de pouvoir l’activer lorsque le navigateur des utilisateurs utilise les cookies d’administration WordPress. Auf cese Weise soll die Malware vor den Website-Administratoren verborgen werden.
Le script contient une image Cloudflare-CAPTCHA utilisée par un de 14 domaines contrôlés par les utilisateurs, qui utilisent toutes les adresses IP diesel. L’option CAPTCHA est utilisée pour obtenir une réponse, une copie de la copie et une boîte de dialogue Windows ouverte.
Cadeau-Donut Digitaler
Le schädliche Befehl est le meilleur avec le code JavaScript et PowerShell intégré, le chargeur DoubleDonut créé au début de l’apprentissage. Ce chargeur utilise le code directement dans un processus Windows légitime.
« La liste de logiciels malveillants est rapidement ausschließlich im Arbeitsspeicher et im Kontext unauffälliger Windows-Prozesse ausgeführt, was die herkömmliche dateibasierte Erkennung wirkungslos macht », déclarent les experts de Rapid7.
Les sites Web compatibles avec des versions ou des plug-ins WordPress sont disponibles, ce qui permet aux chercheurs d’avoir accès à de nouvelles mises à jour ou à des exploits pour de plus amples combinaisons de sécurité.
Vidar-Stealer-Variante utilisée
Le DoubleDonut Loader est maintenant disponible, comme une nouvelle variante des Infostealers Vidar Stealer publiés. Cet outil propose une technologie Dead-Drop-Resolver intéressante, une configuration de commande et de contrôle et une programmation dynamique d’API pour l’installation.
Il est également expliqué que les chercheurs ont publié deux informations sur le voleur d’informations, qui est un en .NET et un en C++. Le programme Rapid7 Impure Stealer et VodkaStealer est généré par des techniques spécifiques, qui ne sont pas disponibles. Dazu zählen aeine ungewöhnliche Datenkodierung, symmetrische Verschlüsselung der Kommunikation oder Sandbox-Erkennung mithilfe system- et zeitbasierter Prüfungen.
Köder-Évolution
Et les ClickFix-Taktiken vous permettent de le faire plus loin. Ainsi, l’équipe Threat Intelligence de Microsoft a été identifiée dans une campagne, à la suite de la boîte de dialogue classique (Win+R) à partir de l’application Windows Terminal (Win+X) pour être utilisée.
Il s’agit également de la découverte de Lumma Stealer et du logiciel de maintenance NetSupport RAT. Une autre page d’écriture de VBScript sur MSBuild est une technique nommée Etherhiding, un code pour un échantillon d’informations d’analyse qui est téléchargé.
Croyance des lois publiques et privées
L’agent de sécurité ESET est tombé en panne et le ClickFix-Angriffe s’est produit pendant un mois à 517 heures. Il est donc possible d’utiliser des variantes de CrashFix, ConsentFix et PhantomCaptcha avec des mécanismes de conception et de mise en œuvre discrets.
Cette grundlegende Social-Engineering-Taktik est également très efficace et est dirigée par des groupes étatiques comme le groupe nord-coréen Lazarus, le groupe iranien MuddyWater et le groupe russe APT28. En janvier, il y a un chercheur de Sekoia qui a créé un autre ClickFix-Framework nommé IClickFix depuis 2024 dans plus de 3.800 sites Web WordPress.
Handlungsempfehlungen
Les sites Web WordPress sont très sécurisés et votre accès à la connexion administrateur n’est pas efficace. La guerre Laut Rapid7 meurt rapidement sur tous les sites Web nicht der Fall.
Il existe des indicateurs de sécurité pour les progrès et les réglementations YARA dans le référentiel GitHub ouvert. (tf)
