L'Australian Cybersecurity Centre (ACSC) vient de mettre en garde contre une campagne active utilisant la technique d'ingénierie sociale connue sous le nom Cliquez surFix pour inciter les victimes à exécuter des commandes malveillantes et ainsi déployer l'info-stealer Vidar. Dans ce schéma, les attaquants compromettent les sites WordPress - avec des thèmes ou des plugins vulnérables - pour rediriger les utilisateurs vers des pages qui faussent un contrôle Cloudflare ou un CAPTCHA et leur demander de copier et de coller une ligne PowerShell sur leur ordinateur. Cette action simple, aussi inhabituelle qu'elle puisse paraître, suffit pour les logiciels malveillants pour exécuter, supprimer votre binaire et opérer de la mémoire, rendant la recherche médico-légale et la détection traditionnelle difficile.
ClickFix exploite la confiance de l'utilisateur et se précipite : la télécommande visuelle "vérification" et le prétexte d'une correction de sécurité supposée font d'un PowerShell un vecteur efficace. Vidar, en plus d'être offert comme malware-as-a-service, est conçu pour voler les mots de passe des navigateurs, des cookies, des portefeuilles de cryptomonesda, des données auto-complètes et des détails du système, et pour résoudre vos serveurs de commande et de contrôle (C2) par "mort-drop" dans les services publics tels que les robots Telegram ou les profils Steam, une technique qui complique le verrouillage simple par domaine.
L'implication pratique est claire : toute organisation avec des utilisateurs qui naviguent vers des sites publics (clients, travailleurs distants, partenaires) est en danger si elle ne limite pas les actions qu'un onglet de navigateur peut induire dans le système. En outre, les administrateurs WordPress devraient comprendre qu'une installation de plugin obsolète ou inutile est une plate-forme efficace pour rediriger le trafic malveillant vers des milliers de visiteurs.
En termes de détection et de réponse, il existe des caractéristiques techniques utiles : l'exécution de PowerShell avec des paramètres codés ou de longues commandes "un liner", le trafic vers les services de messagerie ou des profils publics agissant comme des gouttes mortes, et l'absence d'un exécutable persistant parce que Vidar est exécuté en mémoire. Pour améliorer la visibilité, il est recommandé d'activer l'enregistrement PowerShell avancé (ScriptBlockLogging, ModuleLogging et Transcription) et de centraliser ces événements sur une plateforme SIEM ou EDR capable d'analyser les comportements de mémoire et les chaînes de commande avant que le binaire soit supprimé.
En tant que mesures concrètes d'atténuation, l'ACSC recommande des restrictions sur PowerShell et la mise en œuvre de listes d'applications blanches, en ajoutant des mesures pratiques qui devraient déjà être mises en œuvre: mettre en œuvre des politiques de mise en œuvre qui empêchent les scripts non signés, utiliser Mode de langue restreinte le cas échéant, mettre en œuvre AppLocker ou Windows Defender Application Control (WDAC) pour bloquer les exécutions non autorisées, et renforcer les capacités AMSI et EDR qui inspectent la mémoire. Microsoft maintient une documentation technique utile pour configurer ces défenses et politiques de contrôle d'application dans les environnements Windows: https: / / learn.microsoft.com / windows / security / amenat-protection / windows-defender-application-control / windows-defender-application-control--wdac--overview.
Pour les administrateurs WordPress, la priorité est immédiate : mettre à jour le noyau, les thèmes et les plugins, supprimer les composants inactifs, appliquer le durcissement de base (autorisations de fichier, désactiver l'édition des problèmes / plugins depuis le panneau, restreindre l'accès administratif par IP ou VPN) et déployer un WAF qui bloque les redirections et les requêtes suspectes. Il est également approprié d'installer des solutions de surveillance de l'intégrité des fichiers et de modifier les alertes dans l'accès html ou dans les modèles qui sont habituellement modifiés après l'intrusion. Le bulletin de l'ACSC lui-même comprend des indicateurs d'engagement (IoC) qui peuvent être intégrés dans les règles de détection et de blocage: http: / / www.cyber.gov.au / about-us / view-all-content / alertes-et-conseils / clickfix-distributing-vidar-stealer-via-wordpress-targeting-Australien-infrastructure.
Non moins important est la défense humaine : former les employés et les clients à ne jamais coller les commandes sur un terminal ou PowerShell à partir d'une instruction web, et promouvoir l'utilisation d'administrateurs de mots de passe et l'authentification multifactorielle pour limiter l'impact du vol d'identités. Enfin, établir un playbook de réponse (isoler l'hôte, retourner la mémoire, tourner les références exposées, restaurer à partir de copies fiables) et effectuer des exercices d'hameçonnage et de simulation d'incident réduira la fenêtre d'exposition par rapport aux campagnes qui dépendent de l'impulsivité de l'utilisateur.
La combinaison de techniques relativement simples de l'attaquant (engagement WordPress + tromperie visuelle + une seule commande PowerShell) et d'outils modernes de dissimulation de la mémoire montre encore une fois que la sécurité efficace nécessite des contrôles multicouches : patching et durcissement des applications web, restrictions d'application strictes sur les paramètres, visibilité de la télémétrie de commande et campagnes de sensibilisation continues. Si vous gérez l'infrastructure ou les sites, agissez maintenant : mettre à jour, restreindre et surveiller peut être la différence entre un incident mineur et une fuite d'identification de masse.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...