Nous avons récemment vu une variation inquiétante des campagnes déjà connues "ClickFix": les criminels utilisent les réponses DNS comme un canal pour livrer du code malveillant. Au lieu de télécharger un exécutable en utilisant HTTP ou de convaincre la victime de coller directement un script PowerShell, les attaquants demandent à la personne d'exécuter une requête DNS sur un serveur contrôlé par eux; la réponse contient le second scénario - un Power Shell commande - qui fonctionne sur la machine de la victime. Selon les chercheurs de Microsoft, c'est la première fois que le DNS est documenté comme un canal dans ce type de campagne.
Le vecteur est étonnamment simple et dangereux pour sa furtivité : l'utilisateur est trompé pour ouvrir la boîte Exécuter Windows et exécuter une commande nslookup pointant vers un serveur DNS malveillant. La réponse DNS inclut dans son champ « NAME » une charge utile de texte - une puissance Commande Shell - qui est ensuite invoquée par l'interprète de commande système. Cette deuxième étape, une fois lancée, télécharge un ZIP avec un script Python runtime et malveillant qui effectue la reconnaissance de l'ordinateur et du réseau, installe des mécanismes de persistance et enfin déploie un Trojan d'accès à distance (RAT), identifié dans l'analyse comme ModeloRAT.
Microsoft a documenté cette observation dans une publication récente sur son canal de renseignement, où ils expliquent que les agresseurs demandent explicitement aux victimes d'exécuter une consultation DNS personnalisée et de supprimer du champ "Nom:" la prochaine étape de l'attaque. Vous pouvez voir le fil Microsoft original dans sa publication publique ici: Microsoft Threat Intelligence en X. Pour ceux qui veulent jouer en toute sécurité à quoi ressemble une requête similaire contre un serveur donné, il existe des outils publics comme l'interface de digwebinterface, qui montrent comment une réponse DNS est structurée.
Pourquoi utiliser le DNS? Parce que c'est un canal qui passe souvent inaperçu : la résolution de nom est une fonction de base et constante dans les réseaux, et de nombreuses organisations n'inspectent pas le contenu des réponses DNS dans le même détail que le trafic HTTP (S). En outre, en livrant des commandes texte dans des enregistrements DNS, les acteurs peuvent modifier la charge utile en aller et supprimer les filtres URL ou les blocages sur les serveurs Web. D'un point de vue technique, cela s'inscrit dans les techniques documentées des cadres de renseignement sur les menaces qui décrivent l'abus de protocoles d'application tels que le DNS pour les communications de commandement et de contrôle ( MITRE ATT & CK - DNS comme canal de demande).
La campagne décrite par Microsoft a suivi un modèle classique ClickFix, mais avec de nouvelles nuances. Traditionnellement, ClickFix est basé sur l'ingénierie sociale : la victime reçoit des instructions convaincantes pour exécuter des commandes qui « corrigent » quelque chose - une mise à jour, un permis, un échec supposé - et installe ainsi un code malveillant. Dans ce cas, l'astuce demandait des actions très concrètes liées à une consultation DNS, qui montre comment les attaquants vivent et adaptent la technique pour échapper aux contrôles et augmenter leur taux de réussite.
Cette évolution s'inscrit dans une tendance plus large : au cours des derniers mois, des variantes sont apparues qui utilisent des scripts App-V sur Windows, BSOD false screens, aux abus du CLI Azure pour enlever des sessions sans mot de passe (la campagne identifiée comme "ConsentFix"). Des campagnes utilisant des pages partagées de modèles linguistiques (p. ex. pages publiques ChatGPT, Grok ou services similaires) ont également été documentées pour publier de faux guides qui incitent les utilisateurs à suivre des étapes malveillantes. Un examen des nouvelles spécialisées aide à suivre ces mutations; Calculateur Ils couvrent généralement ces variantes et leurs implications.
Conséquences techniques et de détection lorsque la charge utile voyage dans une réponse DNS en texte, les défenses traditionnelles qui examinent les téléchargements HTTP ou bloquent les domaines malveillants peuvent ne pas capturer la communication. En outre, l'utilisation d'outils système légitimes (slookup, cmd.exe, PowerShell) et l'exécution manuelle de l'utilisateur rendent difficile de classer l'activité anormale avec des règles simples. Il est donc essentiel de combiner les contrôles techniques et la formation: sans interaction humaine (exécuter la commande indiquée), la chaîne d'infection n'est pas terminée.
Du point de vue de l'attaquant, la séquence observée était : (1) d'inciter l'utilisateur à exécuter une requête DNS contre un serveur contrôlé par l'attaquant ; (2) d'obtenir dans la réponse DNS une commande PowerShell qui est enregistrée ou exécutée directement ; (3) de télécharger un fichier ZIP avec un runtime Python et plusieurs scripts pour la reconnaissance et le mouvement dans l'hôte ; (4) de créer des entrées persistantes (par exemple en % APPDATA% et accès direct dans le dossier d'accueil) et (5) d'installer ModeloRAT pour la télécommande permanente. Bien que le serveur DNS identifié par Microsoft n'était plus actif au moment du rapport, la méthodologie est claire et facilement reproductible par d'autres acteurs malveillants.
Ce que les utilisateurs et les administrateurs peuvent faire: prévention est en ne exécutant pas les commandes provenant de sources non vérifiées et en interrogeant toute instruction que vous demandez d'ouvrir la boîte d'exécution pour lancer les utilitaires du système. Les organisations devraient surveiller et analyser les consultations DNS sortantes, appliquer des listes de résolution sûres et utiliser des solutions qui inspectent le contenu des réponses DNS. Des recommandations officielles sur la façon de reconnaître et d'éviter l'hameçonnage et le génie social sont disponibles dans les ressources de la sécurité publique, par exemple dans le guide de génie social de la CISA : CISA - Génie social et phishing. Pour les administrateurs Windows, la documentation officielle sur des outils comme nslookup peut être utilisée pour comprendre exactement quelles commandes peuvent être abusées: Nslookup (documentation Microsoft).
Au niveau technique opérationnel, il est conseillé d'enregistrer et d'alerter les requêtes DNS inhabituelles (par exemple les demandes de résolution externe non autorisée) et de détecter des modèles tels que les réponses avec des charges de texte élevées et inhabituelles dans les enregistrements NAME ou TXT. Les solutions de sécurité dans les terminaux qui surveillent l'utilisation de PowerShell et l'exécution des processus enfant peuvent bloquer la chaîne avant le téléchargement et l'exécution de la deuxième charge utile. Enfin, le maintien de politiques moins privilégiées et la limitation de la capacité des utilisateurs standard à exécuter des commandes administratives réduisent considérablement le risque.
L'émergence de cette utilisation du DNS dans les campagnes ClickFix nous rappelle que la sécurité est une course entre détection et adaptation : quand une technique devient efficace, les attaquants la réinventent et l'ouvrent à de nouveaux canaux. La protection la plus efficace est un mélange de contrôle technique, de visibilité du réseau et de formation continue des utilisateurs. parce que beaucoup de ces campagnes dépendent précisément de quelqu'un qui presse "Accept" ou copie une commande sans vérifier son origine.
Si vous souhaitez approfondir l'analyse technique et le fil d'origine de la recherche, vérifiez la communication de Microsoft sur son canal de renseignement et consultez des ressources d'analyse standard et de menace telles que MITRE ATT & CK pour comprendre le contexte de l'abus DNS comme canal de commande et de contrôle: Microsoft Threat Intelligence (X) et MITRE ATT & CK - DNS. Pour une lecture et un suivi plus généraux axés sur le public à des incidents similaires, des médias spécialisés tels que Calculateur ils publient des mises à jour fréquentes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...