Des victimes involontaires sont désormais amenées à installer des logiciels malveillants via le terminal Windows, mais certains experts affirment que c’est une vieille nouvelle. Quoi qu’il en soit, ils conviennent que les responsables de la sécurité de l’information doivent informer leurs employés sur cette tactique.
Les acteurs de la menace tentent une tactique différente pour inciter les employés à se laisser prendre aux attaques de phishing ClickFix qui installent des logiciels malveillants, explique Microsoft.
Plutôt que de demander aux victimes potentielles de copier et coller une commande (malveillante) dans la boîte de dialogue Exécuter, lancée en appuyant sur le bouton Windows plus la lettre R, il leur est demandé d’utiliser le raccourci Windows + X → I pour lancer directement le terminal Windows (wt.exe).
Une fois le terminal ouvert, les victimes sont invitées à coller des commandes PowerShell malveillantes fournies via de fausses pages CAPTCHA, des invites de dépannage ou des leurres de type vérification conçus pour paraître routiniers et inoffensifs.
Pourquoi? Suivre cette voie permet d’échapper aux défenses à la recherche de commandes d’exécution inhabituelles et de contourner la formation de sensibilisation à la sécurité qui dit aux employés de ne rien faire qui appelle la commande Exécuter.
Microsoft a décrit cette tactique dans un article sur X cette semaine, affirmant que ce qui rend cette campagne remarquable, ce sont les résultats post-compromis. Dans un cas, plusieurs instances Windows Terminal/PowerShell sont ouvertes et lancent finalement un autre processus Powershell responsable du décodage des commandes hexadécimales intégrées.
Le script PowerShell décodé télécharge ensuite un binaire 7-Zip légitime mais renommé et l’enregistre avec un nom de fichier aléatoire, ainsi qu’une charge utile compressée. L’utilitaire d’archive renommé extrait et exécute le logiciel malveillant, qui exécute une chaîne d’attaque en plusieurs étapes qui comprend la récupération de charges utiles supplémentaires, l’établissement de la persistance via des tâches planifiées, l’évasion de la défense via les exclusions de Microsoft Defender et l’exfiltration des données volées de la machine et du réseau.
Dans une deuxième voie d’attaque, la victime colle une commande codée en hexadécimal et compressée XOR dans le terminal Windows. Cette commande télécharge un fichier de commandes nommé de manière aléatoire dans lequel il est ensuite invoqué via cmd.exe pour écrire un VBScript dans . Le script batch est exécuté via cmd.exe avec l’argument de ligne de commande, puis à nouveau exécuté via MSBuild.exe, ce qui entraîne un abus de LOLBin. Le script se connecte aux points de terminaison Crypto Blockchain RPC, indiquant la technique de masquage d’éther, et effectue également une injection de code basée sur QueueUserAPC() dans les processus chrome.exe et msedge.exe pour récolter les données Web et de connexion.
Mais est-ce vraiment nouveau ?
Cependant, un certain nombre d’experts ont rapidement ajouté des commentaires au message de Microsoft, se plaignant que la tactique Windows + X n’est pas nouvelle.
Roger Grimes, conseiller RSSI chez le fournisseur de formation de sensibilisation KnowBe4, est d’accord.
« Les attaques ClickFix utilisant Win+X au lieu de Win+R existent depuis au moins six mois, voire un an ou plus », a-t-il déclaré dans un e-mail. « Ce qu’ils font pendant l’exécution n’est pas nouveau. »
Quoi qu’il en soit, a-t-il ajouté, l’utilisation continue et croissante des attaques ClickFix signifie que les responsables de la sécurité de l’information doivent toujours en informer leurs employés.
« Nous proposons depuis longtemps du contenu de formation autour de ce type d’attaque. Les utilisateurs doivent savoir que rien de légitime ne leur demandera jamais de faire Win+, quelles que soient les clés pour coller du gobblygook pour exécuter du code. Tout ce qui fait cela ne devrait tout simplement pas être effectué », a-t-il déclaré.
« Et tous les ordinateurs Windows devraient déjà être restreints afin que les commandes PowerShell aléatoires, non signées (non signées par l’organisation) ne soient pas autorisées. Chaque organisation et machine devrait déjà avoir le paramètre de commande PowerShell suivant : » activé. Sinon, le risque de cybersécurité de votre organisation est bien plus élevé qu’il ne devrait l’être. »
Chaîne de charge utile « construite pour durer »
Joshua Roback, architecte principal de solutions de sécurité chez Swimlane, a noté que la campagne décrite par Microsoft pousse le playbook ClickFix dans des flux de travail quotidiens plus fiables en incitant les utilisateurs à exécuter du contenu de commande collé dans des outils Windows légitimes qui semblent routiniers et sûrs. Cela est important, a-t-il déclaré, car il dépasse les signaux d’alarme mentaux habituels que les gens associent aux fenêtres contextuelles sommaires, et il peut également esquiver certains des contrôles et des détections que les équipes de sécurité ont adaptés aux modèles ClickFix les plus évidents.
La chaîne de charge utile est également plus conçue pour durer que les variantes précédentes, a-t-il ajouté. Au lieu d’une astuce de récupération rapide et unique, il utilise une approche de livraison et de persistance à plusieurs niveaux qui l’aide à se fondre dans la masse, à rester plus longtemps et à augmenter silencieusement les dégâts une fois qu’il atterrit. Un chemin ajoute une couche d’indirection supplémentaire qui aide l’infrastructure de l’attaquant à se fondre et à rester accessible, ce qui peut rendre les retraits et les blocages simples beaucoup moins efficaces.
Pour les RSSI, a-t-il déclaré, le message adressé aux employés doit être clair. « Utilisez une règle empirique simple : n’exécutez jamais de commandes collées, n’approuvez jamais de connexions inattendues et signalez tous les incidents via les canaux d’assistance officiels de l’entreprise. »
Comment fonctionne ClickFix
Les campagnes de phishing ClickFix ont commencé en 2024, a noté Microsoft dans un blog de sécurité l’année dernière qui détaillait les tactiques de la campagne et les indicateurs de compromission. L’attaque commence lorsqu’il est demandé à un employé de cliquer sur un lien ou d’ouvrir une pièce jointe, souvent sur le thème d’un paiement ou d’une facture, dans un e-mail ou un SMS. Pour échapper aux défenses cherchant à empêcher les employés de télécharger des fichiers non approuvés, l’utilisateur est invité dans une boîte contextuelle à « vérifier le téléchargement » en ouvrant une boîte de dialogue Exécuter et en y copiant et collant quelque chose.
L’objectif est d’amener la victime involontaire à télécharger des logiciels malveillants tels que des infostealers (généralement LummaStealer), des outils d’accès à distance tels que Xworm, AsyncRAT, NetSupport et SectopRAT ; des chargeurs comme Latrodectus et MintsLoader ; et les rootkits.
Dans le blog, Microsoft fournit des conseils aux défenseurs pour lutter contre les attaques ClickFix, notamment en leur recommandant d’activer la journalisation des blocs de script PowerShell pour détecter et analyser les commandes obscurcies ou codées, ce qui fournirait une visibilité sur l’exécution de scripts malveillants qui pourraient autrement échapper à la journalisation traditionnelle.
