La dernière campagne masque également les logiciels malveillants dans les valeurs de pixels RVB des images PNG.
Ce conseil vient des chercheurs de Huntress, qui ont averti cette semaine qu’une nouvelle version d’attaques basées sur ClickFix, dans laquelle les employés sont amenés à exécuter des commandes malveillantes, circule.
Les dernières tactiques de cette campagne incluent la stéganographie – cachant les logiciels malveillants dans les pixels d’une image – et un faux écran Windows Update « très convaincant » qui demande à l’utilisateur d’ouvrir une invite d’exécution, puis de coller et d’exécuter une commande malveillante.
Cette commande délivre les infostealers LummaC2 et Rhadamanthys.
Huntress note que son rapport intervient après les démantèlements des forces de l’ordre de l’opération Endgame du 13 novembre ciblant l’infrastructure de Rhadamanthys. Depuis le 19 novembre, plusieurs domaines actifs continuaient d’héberger la page Windows Update Lure associée à la campagne Rhadamanthys. Tous ces leurres pointent vers la même structure d’URL codée en hexadécimal précédemment liée au déploiement de Rhadamanthys, bien qu’il semble que cette charge utile ne soit plus hébergée.
La première mesure que les défenseurs devraient prendre est d’empêcher l’exécution de ce logiciel malveillant, indique le rapport. « Le moyen le plus efficace d’atténuer ClickFix consiste à désactiver la boîte d’exécution de Windows », explique Huntress, soit en modifiant le registre Windows, soit en déployant des règles GPO (objet de stratégie de groupe) pour bloquer l’interaction avec la boîte d’exécution de Windows.
Après cela, le rapport recommande la réponse standard pour lutter contre toutes les attaques d’ingénierie sociale : une formation efficace de sensibilisation à la sécurité des employés. « Assurez-vous que les utilisateurs sont formés à la méthodologie ClickFix », indique le rapport, « en soulignant que les processus légitimes CAPTCHA ou Windows Update ne nécessiteront jamais de coller ni d’exécuter des commandes. »
Avertissements ClickFix
Les experts mettent en garde contre les attaques ClickFix (parfois appelées pastajacking) depuis au moins début 2024. Elles commencent souvent par un leurre de phishing qui attire la victime vers une fausse page de destination réaliste qui prétend être une page Windows Update ou un site Web d’un ministère. Le cœur de l’attaque consiste à donner aux utilisateurs des instructions qui impliquent de cliquer sur des invites et de copier, coller et exécuter des commandes directement dans la boîte de dialogue Windows, le terminal Windows ou Windows PowerShell. Cela conduit au téléchargement de scripts qui lancent des logiciels malveillants.
Deux nouvelles tactiques sont utilisées dans la dernière campagne ClickFix, déclare Huntress :
- l’utilisation depuis début octobre d’une fausse page d’accueil bleue de Windows Update en plein écran, affichant des animations réalistes « Travail sur les mises à jour » qui se terminent finalement en invitant l’utilisateur à suivre le modèle ClickFix standard : ouvrez l’invite Exécuter (Win+R), puis collez et exécutez la commande malveillante.
Pourquoi un employé ferait-il cela ? Parce que la demande fait partie d’un prétendu test visant à prouver que la victime est humaine. Un écran indiquant « Vérification humaine. Suivez 3 étapes rapides pour vérifier que vous n’êtes pas un robot. » s’affiche. C’est comme une requête CAPTCHA, familière aux employés de nos jours. Dans ce cas, les trois étapes sont : appuyez sur le bouton Windows + R (ce qui ouvre la boîte Exécuter) ; appuyez sur CTRL + V (qui colle une commande qui a été automatiquement copiée dans le presse-papiers) ; puis appuyez sur Entrée pour « vérifier » (ce qui exécute en fait la commande qui déclenche le téléchargement des scripts). - la stéganographie, qui dissimule les dernières étapes du malware dans une image. Plutôt que d’ajouter simplement des données malveillantes à un fichier, le code malveillant est codé directement dans les données de pixels des images PNG, en s’appuyant sur des canaux de couleur spécifiques pour reconstruire et décrypter la charge utile en mémoire ;
Dans un e-mail, la co-auteure du rapport, Ana Pham, a déclaré que la stéganographie n’était pas nouvelle dans les opérations de logiciels malveillants. « Ce qui ressort ici, c’est la mise en œuvre : plutôt que d’ajouter simplement des données malveillantes à un fichier image, cette campagne encode la charge utile directement dans les valeurs de pixels RVB des images PNG, en extrayant le shellcode en lisant des canaux de couleur spécifiques et en appliquant le décryptage XOR. Il s’agit d’une approche plus complexe que les techniques d’ajout de fichiers de base, conçue pour échapper à la détection basée sur les signatures. »
La tactique sur le thème de Windows Update est particulièrement efficace car elle imite quelque chose que les utilisateurs s’attendent à voir : une page de démarrage Windows Update en plein écran avec des animations réalistes, a-t-elle déclaré.
« Étant donné à quel point ce leurre est convaincant par rapport aux pages standards de « vérification par robot », il est raisonnable de s’attendre à ce que d’autres acteurs malveillants adoptent des approches similaires », a-t-elle ajouté. « Le code source de ces leurres contient des commentaires en langue russe et n’est pas trop obscurci, ce qui signifie qu’il pourrait être partagé ou copié relativement facilement par d’autres groupes. »
Les attaques sont désormais « généralisées »
ClickFix est devenu monnaie courante parmi les clients de Huntress, a-t-elle déclaré, et constitue l’une des menaces les plus répandues observées cette année. Au cours des six derniers mois, l’entreprise a constaté une augmentation de 313 % des incidents liés à ClickFix.
Huntress a répondu à 76 incidents distincts liés à cette campagne spécifique sur une période d’un mois, de fin septembre à octobre, avec des attaques ciblant des organisations dans plusieurs régions, notamment les États-Unis, l’Europe/Moyen-Orient/Afrique et l’Asie-Pacifique.
Ce qui relie les incidents est un indicateur spécifique, a déclaré Pham : la charge utile initiale, qui délivre finalement le chargeur stéganographique, contient toujours une URL où le deuxième octet est codé au format hexadécimal.
Les chercheurs de la division de renseignement sur les menaces de l’unité 42 de Palo Alto Networks ont également signalé avoir constaté davantage d’attaques ClickFix. Dans un rapport de juillet, ils ont déclaré que les attaquants incitent les victimes à copier et coller des commandes pour appliquer des solutions rapides à des problèmes informatiques courants tels que des problèmes de performances, des pilotes manquants ou des erreurs contextuelles. Les faux forums de support technique sont un moyen de lancer ces attaques. Il est également connu que des acteurs malveillants, dans le cadre d’autres campagnes, utilisent de fausses pages d’authentification unique DocuSign et Okta pour tromper les utilisateurs. Les charges utiles incluent des voleurs d’informations, des chevaux de Troie d’accès à distance (RATS) ou des outils qui désactivent la sécurité.
« Cette méthode de livraison contourne de nombreux contrôles standards de détection et de prévention », indique le rapport de Palo Alto. « Il n’y a pas d’exploit, de pièce jointe de phishing ou de lien malveillant. Au lieu de cela, les victimes potentielles exécutent elles-mêmes la commande sans le savoir, via un shell système fiable. Cette méthode rend les infections de ClickFix plus compliquées à détecter que les téléchargements drive-by ou les droppers de logiciels malveillants traditionnels. «
Dans un autre cas encore, des chercheurs du groupe NCC ont publié aujourd’hui ce rapport sur une attaque ClickFix qu’ils ont découverte en mai et qui impliquait une compromission drive-by et l’utilisation d’une fausse fenêtre contextuelle CAPTCHA, dans le but d’installer le Lumma C2 Stealer.
Ce que les OSC devraient faire
Pham a également déclaré que les dirigeants devraient déployer une surveillance des points de terminaison pour les chaînes de processus suspectes, en particulier en surveillant les apparitions, ou PowerShell avec des arguments de ligne de commande inhabituels.
Palo Alto Networks a également averti que certains attaquants visent à éviter d’exposer leur activité dans la clé de registre RunMRU en présentant des instructions pour lancer un terminal pour PowerShell (Windows 11) ou une invite de commande (Windows 10). La télémétrie EDR ou les journaux d’événements Windows montreront des signes de cette tactique.
Même si la formation à la sensibilisation à la sécurité est importante, elle ne devrait pas être la seule ligne de défense, a déclaré Pham.
« ClickFix réussit parce qu’il exploite la confiance des utilisateurs et leur comportement habituel », a-t-elle déclaré. « Les utilisateurs font instinctivement confiance aux contrôles CAPTCHA et aux écrans de mise à jour Windows comme éléments de routine de leur journée. Même les utilisateurs bien formés peuvent être pris au dépourvu par une animation Windows Update convaincante en plein écran. L’approche (d’atténuation) la plus efficace combine l’éducation des utilisateurs avec des contrôles techniques : désactivation de la boîte de dialogue Exécuter, surveillance des comportements suspects des processus et maintien d’une détection robuste des points de terminaison. La défense en profondeur est importante ici, la formation réduit la probabilité que quelqu’un tombe dans le piège, mais les contrôles techniques fournissent un filet de sécurité lorsqu’ils le font. «
À l’heure actuelle, Huntress ne dispose pas de suffisamment de preuves pour déterminer si cette campagne spécifique a été menée par un acteur menaçant particulier ou par plusieurs groupes d’acteurs menaçants, a noté Pham.
