De récents projets d’ingénierie sociale impliquant WordPress et le terminal Windows de Microsoft montrent que cette tactique relativement basique constitue une menace croissante.
Les cybercriminels combinent des sites Web compromis avec des leurres d’ingénierie sociale ClickFix de plus en plus sophistiqués pour diffuser de nouveaux logiciels malveillants voleurs d’informations, avec une seule campagne militarisant plus de 250 sites WordPress dans 12 pays.
La campagne conduit à des charges utiles furtives en mémoire, tandis qu’une attaque distincte détectée par Microsoft cible le terminal Windows pour l’exécution des charges utiles au lieu de la boîte de dialogue Exécuter traditionnelle.
La campagne WordPress est active depuis décembre 2025 et cible les visiteurs avec de faux défis Cloudflare CAPTCHA, ont révélé des chercheurs de la société de sécurité Rapid7 dans un rapport cette semaine. Les sites Web WordPress compromis couvrent les médias régionaux, les sites Web d’entreprises locales et même la page Web officielle d’un candidat au Sénat américain.
« L’exécution à grande échelle de la compromission sur des instances WordPress totalement indépendantes suggère un niveau élevé d’automatisation de la part de l’acteur malveillant et fait probablement partie d’un effort criminel organisé à long terme », a déclaré le chercheur.
Évasion de la détection
La campagne WordPress ClickFix fournit trois charges utiles d’infostealer distinctes – dont deux jusqu’alors inconnues – et utilise une infrastructure de domaine qui semble avoir été mise en place depuis juillet 2025.
Les attaquants déguisent leur extrait de code JavaScript injecté en optimiseur de performances qui ne se déclenche que si le navigateur du visiteur ne dispose pas de cookie d’administrateur WordPress. Cette technique vise à cacher le comportement malveillant aux administrateurs du site Web.
Le script récupère un faux défi de vérification Cloudflare CAPTCHA à partir de l’un des 14 domaines contrôlés par des attaquants, tous résolus par une seule adresse IP. Le faux CAPTCHA demande aux visiteurs de copier et coller une commande dans la boîte de dialogue Exécuter de Windows.
La commande malveillante consiste en du code JavaScript et PowerShell obscurci qui lance un chargeur de shellcode en mémoire appelé DoubleDonut Loader. Le chargeur injecte des charges utiles directement dans les processus Windows légitimes et utilise le chargement de code réfléchi.
« La chaîne de logiciels malveillants est exécutée presque entièrement en mémoire et dans le contexte de processus Windows discrets, ce qui rend la détection traditionnelle basée sur les fichiers inefficace », a écrit Rapid7.
Les sites compromis ne partageaient pas la même version ou le même plugin WordPress vulnérable, ce qui suggère que les attaquants pourraient exploiter des informations d’identification faibles ou utiliser des exploits pour plusieurs vulnérabilités.
Nouvelles charges utiles
Le DoubleDonut Loader a été observé en train de fournir une nouvelle variante de Vidar Stealer, un infostealer bien connu, qui utilise une technique de résolution morte pour récupérer sa configuration de commande et de contrôle et sa résolution dynamique d’API.
En plus de Vidar, deux voleurs d’informations jusqu’alors non documentés ont été observés, l’un écrit en .NET et l’autre en C++. Rapid7 a nommé ces nouveaux programmes Impure Stealer et VodkaStealer et tous deux utilisent des techniques d’évasion de détection, notamment le codage de données non standard et le cryptage symétrique pour les communications de commande et de contrôle ou la détection de l’environnement sandbox à l’aide de vérifications système et temporelles.
ClickFix est une menace croissante
En plus des nouvelles charges utiles, les attaquants font également évoluer leurs leurres ClickFix. Une campagne distincte identifiée par l’équipe Threat Intelligence de Microsoft a remplacé la boîte de dialogue Windows Run commune (Win+R) par l’application Windows Terminal (Win+X) pour l’exécution des commandes.
Cette campagne a livré les célèbres Lumma Stealer et NetSupport RAT. Une deuxième charge utile impliquait une chaîne VBScript exécutée via MSBuild qui utilisait une technique connue sous le nom d’étherhiding pour télécharger le code de collecte d’informations d’identification.
La société de sécurité ESET a estimé que les attaques ClickFix ont augmenté de 517 % l’année dernière, avec de multiples variantes baptisées CrashFix, ConsentFix et PhantomCaptcha, chacune avec des leurres et des mécanismes de diffusion différents.
Cette tactique fondamentale d’ingénierie sociale s’est révélée si efficace que même des groupes d’États-nations tels que le groupe Lazarus en Corée du Nord, MuddyWater en Iran et l’APT28 en Russie l’ont adoptée. En janvier, des chercheurs de Sekoia ont signalé qu’un framework ClickFix distinct baptisé IClickFix avait été injecté dans plus de 3 800 sites WordPress depuis 2024.
Les opérateurs de sites WordPress doivent s’assurer que leurs panneaux de connexion d’administrateur ne sont pas exposés publiquement, puisque Rapid7 a noté que presque tous les sites compromis lors de la campagne découverte avaient des pages d’administration accessibles.
Rapid7 a publié des indicateurs de compromission et des règles de détection YARA sur son référentiel public GitHub.
