Les chercheurs en cybersécurité ont mis en lumière une chaîne d'attaque qui combine une vieille connaissance de la tromperie web - ClickFix-type faux CAPTCHAs - avec une manœuvre moins attendue: l'abus d'un script signé par Microsoft appartenant à l'App-V pour cacher l'exécution malveillante. Le résultat est une séquence militairement pensée qui finit par télécharger un Voleur d'information appelé Amatera, et qui pose de sérieux défis aux défenses traditionnelles.
L'élément clé qui est un levier dans cette campagne n'est pas un exécutable suspect, mais une composante légitime du système. Au lieu d'invoquer directement PowerShell, les attaquants incitent la victime à exécuter une commande qui lance SyncAppvPublissementServer.vbs un script signé associé à la virtualisation des applications Microsoft (App-V). En s'appuyant sur un outil de confiance, la menace est camouflée sous l'égide de la légitime et complique la détection par des solutions qui privilégient la réputation des processus. Pour comprendre ce qu'est l'application-V et pourquoi elle compte, Microsoft conserve la documentation officielle dans laquelle elle explique cette technologie : App-V dans la documentation Microsoft.
Le vecteur initial est le faux truc CAPTCHA déjà connu : l'utilisateur atterrit sur une page qui semble demander une vérification et reçoit des instructions, généralement dans une vidéo ou une boîte de dialogue, pour copier et coller une commande dans la zone Exécuter Windows. La nouvelle chose à propos de cette campagne est que la commande n'appelle pas directement PowerShell, mais en profite. SyncAppvPublissementServer.vbs pour libérer un chargeur en mémoire via wscript.exe, qui sert de proxy signé qui « retourne fiable » l'exécution ultérieure. Cette technique d'utilisation de binaires système légitimes pour exécuter le code malveillant est ce que la communauté appelle living-off-the-land; le cadre ATT & CK de MITRE documente ce type d'abus, y compris la variante que SyncAppvPublierServer.vbs utilise: MITRE ATT & CK - abus de SyncAppvPublierServer.vbs.
Que le vecteur est basé sur l'application-V n'est pas un détail mineur: cette technologie n'est présente que dans les éditions Enterprise et Education de Windows 10 / 11 et dans les versions modernes de Windows Server. Dans les systèmes domestiques ou pro où l'application-V n'existe pas ou n'est pas activée, la chaîne est brisée, ce qui suggère que les attaquants ont concentré leurs efforts sur les environnements d'entreprise et gérés.
Une fois le chargeur exécuté, les auteurs effectuent des vérifications pour éviter les boîtes à sable et les environnements d'analyse automatique, puis téléchargez leur configuration à partir d'une ressource inattendue : un fichier de calendrier public hébergé dans Google Calendar. En sous-traitant des paramètres de contrôle dans un service légitime et public, l'agresseur peut faire pivoter l'infrastructure et changer les coordonnées sans réécrire les étapes précédentes de l'attaque. Cette utilisation des calendriers comme dépôts de configuration est un exemple de ce que l'industrie appelle une solution de la goutte morte une méthode qui est également incluse dans les techniques énumérées par MITRE: Résolveur à goutte morte (T1102.001).
Le calendrier indique ensuite des charges supplémentaires : un script PowerShell intermédiaire qui, exécuté en mémoire, récupère une image PNG à partir de services CDN tels que jsDelivr ou des domaines qui agissent comme une façade. Dans cette image est cachée, cryptée et compressée, la prochaine charge utile dans PowerShell. En mémoire, la décompression et le déchiffrement sont effectués, et enfin le code qui charge un shellcode conçu pour déployer Amatera est invoqué. Ce mode de fonctionnement, où tout se passe en mémoire et sans laisser de binaire suspect sur disque, complique considérablement la capacité d'analyser et de capturer des preuves par détection traditionnelle.
Loin d'être un tour isolé, cette chaîne s'inscrit dans une évolution plus large des campagnes ClickFix. Ces derniers mois, des variantes ont proliféré avec des noms tels que JackFix ou CrashFix, et des panneaux et des services ont vu le jour qui commercialisent la technique en tant que produit: les opérateurs vendent des kits ClickFix dans des forums pour des quantités considérables, ce qui facilite le lancement de campagnes réussies pour les acteurs moins techniques. En parallèle, des plates-formes de distribution sont apparues spécialement conçues pour ce type de tromperie, comme ErrTraffic, qui introduit une approche GlitchFix aux pages visuellement corrompues et convainc l'utilisateur que « corriger » le problème nécessite l'exécution d'une commande.
Des chercheurs des entreprises de sécurité ont documenté ces développements. Blackpoint décrit la chaîne qui culmine à Amata et met en évidence l'orchestration précise entre les étapes; l'entrée technique est disponible sur son blog: Blackpoint - fausse chaîne CAPTCHA qui livre Amatera. D'autres analyses qui ont suivi les campagnes ClickFix destinées aux créateurs de contenu de médias sociaux, avec un faux processus de vérification et des jetons de session, ont été publiées par Chasse.io et par les équipes d'intervention dans des entreprises telles que Palo Alto (Unit42): Unité42 - menaces contre les créateurs.
Une caractéristique récurrente de ces campagnes est leur préférence pour des services et des plateformes de bonne réputation: Les CDN, les calendriers publics et les contrats smart blockchains ont été utilisés comme tuyaux de distribution ou stockage de codes. Cette approche permet aux attaquants de "hériter" la confiance des services légitimes, une tendance que Censys a appelée "Vivre hors du Web" et qui décrit comment une infrastructure fiable devient surface de livraison de logiciels malveillants: Censys - Vivre hors du Web.
Des cas comme ClearFake illustrent l'utilisation combinée de ClickFix avec d'autres techniques créatives : les sites WordPress infectés par la campagne, les appâts de mise à jour du navigateur injecté et les contrats intelligents utilisés dans Binance Smart Chain pour cacher le fragment JavaScript suivant pour récupérer - une technique nommée par des analystes comme EtherHering. Le compte rendu d'Expel de ClearFake offre un diagnostic de la sophistication et de la portée de ces opérations: Expel - Techniques ClearFake et LotL.
Quelles conclusions pratiques tirons-nous de tout cela? Premièrement, la défense traditionnelle basée uniquement sur le blocage des exécutables suspects sur disque n'est pas suffisante : les attaquants profitent de processus signés et se produisent en mémoire, ce qui force les systèmes de détection à évaluer le comportement et le contexte en plus grande profondeur. Deuxièmement, le facteur humain reste le lien le plus exploité : toute boîte de dialogue qui demande de copier/coller des commandes ou de déplacer des jetons doit être activée en tant que suspect et examinée en dehors du flux normal du navigateur.
Pour les organisations, les recommandations visent à renforcer les contrôles de privilèges, à limiter et à surveiller l'utilisation de composants optionnels comme l'App-V lorsqu'ils ne sont pas nécessaires, et à ajuster les règles de l'EDR pour surveiller l'invocation inhabituelle de scripts légitimes. Il convient également d'informer les utilisateurs particulièrement sensibles - créateurs de contenu, équipes de marketing et gestionnaires de site - des risques d'acceptation des "vérifications" qui demandent à exécuter des commandes locales. Bitdefender et d'autres fournisseurs ont publié des analyses et des guides sur la façon de comprendre et d'atténuer ClickFix; un résumé des nouvelles est disponible sur le portail Bitdefender Business Insights: Bitdefender - comment ClickFix fonctionne.
Bref, la campagne qui mène à Amatera n'apporte pas une invention technique révolutionnaire, mais une combinaison très soignée de techniques connues : tromperie dirigée contre les utilisateurs, exploitation d'outils système signés, configuration dynamique dans les services publics et exécution en mémoire. Cette orchestration fait avancer l'attaque seulement lorsque tout s'adapte, ce qui rend difficile la détonation automatique dans les environnements d'analyse et la réponse rapide dans la détection réelle. Il sera essentiel de rester vigilant et d'ajuster les moyens de défense pour détecter les modèles d'abus de confiance pour réduire l'impact de ces menaces.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...