Un seul clic et le combo Ctrl + V compromet désormais les points de terminaison avec des téléchargements de fichiers zéro.
Une nouvelle vague de phishing basée sur un navigateur informe les utilisateurs sans méfiance dans des commandes malveillantes en copie dans leurs systèmes, tout en croyant qu’ils terminent une vérification légitime du captcha.
Selon une recherche Slashnext, les attaquants ont été trouvés en clonage de l’interface CloudFlare Turnique, une alternative CAPTCHA préservant la confidentialité pour vérifier si un utilisateur est humain, pour attirer les utilisateurs dans l’exécution d’un malware.
Commentant pourquoi il s’agit d’un gagnant absolu pour les acteurs de la menace, Lionel Litty, architecte en chef de la sécurité chez Menlo Security, a déclaré: «Ces attaques d’ingénierie sociale réussissent souvent parce qu’elles exploitent astucieusement la frustration des utilisateurs: devoir résoudre encore un autre captcha.» Ils continuent ensuite à fournir des instructions qui sont à la fois obscures pour de nombreux utilisateurs et faciles à suivre, a ajouté Litty.
Dans les observations de Slashnext, les victimes ont reçu un faux contrôle de sécurité avec une image de marque réelle et un identifiant Ray, un identifiant attribué par Cloudflare. Après avoir cliqué sur «Vérifiez que vous êtes humain», les utilisateurs sont guidés à travers des pressions de touches qui colleront sans le savoir et exécutent une commande PowerShell cachée copiée dans leur presse-papiers.
Ces campagnes ClickFix (y compris celle à l’aide du cache de tourniquet) ont été utilisées pour livrer une gamme de charges utiles, y compris des voleurs d’informations tels que Lumma et Stealc, ainsi que des chevaux de Troie (rats) à pleine télécommande à part entière comme le gestionnaire de NETSupport conçu pour un compromis complet du système.
Faux captcha utilisé comme nouvelle frontière de phishing
Le chercheur de Slashnext, Daniel Kelley, a averti que la campagne observée signale les acteurs des acteurs du phishing traditionnel qui implique une invitation directe d’un téléchargement de fichiers, vers une attaque de clics plus sophistiquée qui ressemble à un contrôle de sécurité légitime.
L’attaque commence à travers des sites Web compromis contenant du javascript malveillant. Lorsque les utilisateurs interagissent avec ces sites, ils sont redirigés vers des pages trompeuses qui affichent des messages d’erreur ou des vérifications CAPTCHA, exhortant les utilisateurs à effectuer des actions telles que la copie et le colorant des commandes dans le terminal ou le PowerShell de leur système.
« Lorsqu’une victime visite un site malveillant ou compromis, elle voient un message` `Vérifier si la connexion du site est sécurisée, vous êtes humain ‘comme ils le feraient sur une vraie page Cloudflare’ ‘, a déclaré Kelley dans un article de blog. Par la suite, un message pop-up ou sur page dirige les utilisateurs à travers une séquence de pressions de touches – y compris Win + R, Ctrl + V et ENTER – entraînant l’exécution du malware sur leur machine.
« Le concept d’utilisateurs de phishing avec de faux contrôles de sécurité n’est pas nouveau », a déclaré James Maude, CTO Field à Beyondtrust. «Dans le passé, les acteurs de la menace ont eu un grand succès avec des documents de phishing qui incitent les utilisateurs à permettre aux macros malveillants d’exécuter à l’aide de fausses vérifications de sécurité qui affirment que le document a besoin de macros activés pour la sécurité.»
Alors que les défenses ont évolué et se sont améliorées pour bloquer les pièces jointes de courrier électronique qui lancent du code malveillant, les acteurs de la menace ont également évolué leurs techniques pour trouver des moyens plus créatifs de manipuler les utilisateurs dans l’exécution du code, a noté Maude.
Exploit à l’étranger de la «fatigue de vérification»
Slashnext a souligné que le succès de la campagne découle en grande partie de son exploitation de la psychologie humaine.
« Les utilisateurs d’Internet modernes sont inondés de chèques de spam, de captchas et d’invites de sécurité sur les sites Web, et ils ont été conditionnés à les cliquer le plus rapidement possible », a ajouté Kelley. «Les attaquants exploitent cette« fatigue de vérification », sachant que de nombreux utilisateurs se conformeront aux étapes présentées si elle semble routine.»
L’absence de drapeaux rouges immédiats comme les téléchargements suspects, ajoutés avec une conception trompeuse utilisant la marque et l’interface de confiance, offre un faux sentiment de sécurité.
« Nous avons vu un nombre croissant de ce type d’attaque au cours des derniers mois et nous avons fait en sorte que plusieurs clients se renseignent sur les moyens possibles de gêner l’attaque », a déclaré Litty. «En raison de leur visibilité limitée dans le comportement du navigateur, les produits AV et d’autres solutions de protection des points finaux ont tendance à manquer ces attaques.»
Litty a noté un besoin de solutions spécifiques au navigateur, y compris des outils pour l’isolement du navigateur, qui peut détecter un site Web qui écrit du contenu dans le presse-papiers et le signaler aux utilisateurs.
Les tactiques Clickfix ne sont pas de nouveau et ont été récupérées ces dernières années par des acteurs de l’État-nation, notamment dans la campagne «Interviews contagices» liée au groupe Kimsuky aligné par la Corée du Nord. D’autres acteurs notables parrainés par l’État connues pour l’utilisation de ClickFix incluent Muddywater (Iran), APT28 et UNK_Remooterogue (Russie).
