Récemment, les chercheurs en sécurité de Microsoft ont donné l'alarme sur une campagne d'ingénierie sociale qui profite d'un élément légitime de l'écosystème Windows pour inciter les victimes à exécuter un code malveillant. Au lieu de demander aux gens d'ouvrir la boîte Run et de coller une commande - une tactique déjà connue et contrôlée par de nombreuses solutions de détection - les attaquants guident les utilisateurs à lancer l'application directement Terminal Windows, ce qui rend l'opération plus technique et, aux yeux de l'utilisateur, plus légitime. Vous pouvez lire l'explication originale de l'équipe de Microsoft dans son fil public sur X Voilà. et une description générale de la demande elle-même à sa rubrique de référence dans Wikipedia.
Le piège commence sur les pages Web qui simulent les processus de vérification - faux CAPTCHA, instructions de dépannage ou formulaires de vérification - et qui demandent au visiteur de copier un bloc de texte apparemment inoffensif. Ce texte n'est pas une commande directe mais une chaîne codée: hexagone qui a également été compressé et soumis à une opération XOR pour cacher son but. Si l'utilisateur touche cette chaîne dans une session Windows Terminal et l'exécute, le flux ouvre de nouveaux interprètes de commande et des sessions PowerShell jusqu'à ce qu'un processus qui décode et décompresse le script original soit finalement invoqué.
Le résultat de ce décodage est le téléchargement d'artefacts qui incluent un fichier ZIP en plusieurs étapes de l'attaque et une copie légitime de 7-Zip, renommé et stocké sur disque avec un nom aléatoire. Lors de l'exécution, cet utilitaire supprime le ZIP et déclenche une chaîne d'actions qui persistent dans la machine, désactive les commandes et exfiltre les données. Les adversaires obtiennent à des tâches de programme pour assurer leur présence, ajouter des exclusions à Microsoft Defender et enfin déployer un extracteur d'identification connu sous le nom de Lumma Stealer.
Une des techniques les plus pertinentes techniquement est l'utilisation de QueueUserAPC, une API Windows qui vous permet d'injecter du code dans des processus déjà en fonctionnement. Dans ce cas, le voleur finit par être injecté dans des processus de navigateur tels que le chrome. Exe et Msedge. exe pour lire les bases de données locales où les mots de passe et autres objets précieux sont généralement enregistrés. Si vous voulez examiner l'explication technique de cet appel API, la documentation officielle de Microsoft détaille la fonction DemandeUsagerAPC ().
Les chercheurs ont également observé une autre façon: au lieu d'une chaîne décodée qui déclenche PowerShell, la commande compressée peut provoquer le téléchargement d'un script par lots de noms aléatoires qui est situé dans AppData et génère, à son tour, un fichier VBScript dans le dossier Temp. Ce lot est exécuté avec des paramètres spéciaux et est réédité par MSBuild.exe, un binaire légitime que de nombreux administrateurs utilisent pour compiler . Projets NET. L'abus d'outils système - les soi-disant HOLBins ou "binaires vivant hors-la-terre" - permet d'éviter les contrôles parce que le logiciel malveillant est camouflé après des exécutables fiables; MITRE recueille ce type de techniques dans son framework ATT & CK, par exemple sur les routes liées à MSBuild Voilà..
Un autre détail intéressant que Microsoft rapporte est la connexion apparente avec les services de blockchain: une partie du script communique avec les paramètres de chaîne de blocs RPC, suggérant une technique "étherhiding" pour mélanger le trafic ou camoufler vos communications d'exfiltration. Alors que tout cela arrive, les logiciels malveillants continuent avec la tâche principale: recueillir des données de navigateur - Web Data et Login Data - et les envoyer aux serveurs contrôlés par les attaquants.
Au-delà de la technique concrète, le problème de cette campagne est la combinaison de l'ingénierie sociale et de l'abus légitime de logiciels. Les attaquants comptent sur la perception de la fiabilité qui a un outil moderne comme Windows Terminal et dans le confort du raccourci clavier suggéré (Windows + X → I) pour convaincre la victime que ce qu'il fait est une chose courante et sûre.
Pour les utilisateurs et les responsables de la sécurité, il y a plusieurs implications pratiques. Le premier est de se rappeler qu'aucun site fiable ne vous demandera jamais d'exécuter des commandes arbitraires sur votre machine comme méthode de vérification. Si un site Web demande de coller des instructions à un terminal, c'est un indicateur de risque fort. Il est approprié de fermer la page et de vérifier par les canaux officiels avec le service qui prétendument demande l'action. En outre, les organisations devraient revoir leurs exclusions et leurs politiques de mise en oeuvre pour s'assurer que les raccourcis ne sont pas créés et que les attaquants peuvent en bénéficier. Microsoft publie des guides sur la gestion des exclusions dans Defender qui peuvent être utiles pour les administrateurs: Guide d'exclusion du défendeur.
Il est également recommandé d'appliquer des contrôles techniques complémentaires : filtrer ou bloquer les téléchargements à partir de pages suspectes, restreindre l'exécution de binaires renommés dans des endroits temporaires, surveiller la création de tâches inhabituelles programmées et surveiller les processus qui injectent du code dans les navigateurs. Les détections basées sur le comportement, ainsi que la segmentation des permis (éviter l'utilisation de comptes avec des privilèges inutiles), réduisent la surface d'attaque. Pour des conseils généraux sur la façon de reconnaître et d'éviter le phishing et d'autres arnaques similaires, l'initiative américaine Stop.Think.Connect. de CISA offre des ressources utiles: recommandations pour la détection de l'hameçonnage.
Si vous soupçonnez qu'une machine a été compromise par cette campagne, il est approprié de l'isoler du réseau, de recueillir des informations pour l'analyse médico-légale (PowerShell enregistre, création / exécution d'événements et chaînes de processus), et de déployer une analyse avec des outils mis à jour. La présence d'exécutables légitimes renommés, de nouvelles tâches programmées ou d'exclusions récentes dans les solutions antivirus sont des signes qui méritent une recherche immédiate.
Bref, la campagne "ClickFix" montre une leçon classique qui reste en place : la technologie légitime peut devenir dangereuse lorsque les humains sont manipulés pour l'utiliser à leur propre détriment. La surveillance des utilisateurs, la configuration prudente de la sécurité et les politiques d'utilisation des outils administratifs sont la première ligne de défense contre les menaces qui combinent ingénierie sociale et techniques d'infection avancées.
Pour approfondir les détails techniques et les recommandations de réponse spécifiques, vous pouvez consulter la publication de l'équipe de renseignement Microsoft sur X Voilà., documentation sur l'API utilisée pour l'injection DemandeUsagerAPC () et la page officielle de 7-Zip si vous avez besoin de vérifier l'intégrité des copies légitimes de ce discompresseur sur votre site.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...