Les campagnes de logiciels malveillants ClickFix visent toutes à piéger la victime afin qu'elle infecte son propre ordinateur.
Apparemment, les criminels à l'origine de ces campagnes ont compris que les commandes mshta et Powershell sont de plus en plus bloquées par les logiciels de sécurité. Ils ont donc développé une nouvelle méthode utilisant nslookup.
Les premières étapes sont pratiquement identiques à celles que nous avons déjà vues : de fausses instructions CAPTCHA pour prouver que vous n'êtes pas un robot, la résolution de problèmes informatiques ou de mises à jour inexistants, le plantage du navigateur, et même des vidéos explicatives.
L'idée est d'amener les victimes à exécuter des commandes malveillantes afin d'infecter leur propre ordinateur. La commande malveillante est souvent copiée dans le presse-papiers de la victime avec des instructions pour la copier dans la boîte de dialogue Windows ou dans le Mac .
Nslookup est un outil intégré permettant d'utiliser l'« annuaire téléphonique » d'Internet, et les criminels exploitent essentiellement cet annuaire pour introduire clandestinement des instructions et des logiciels malveillants au lieu de simplement obtenir une adresse.
Il sert à résoudre les problèmes réseau, à vérifier si le DNS est correctement configuré et à enquêter sur les domaines suspects, et non à télécharger ou à exécuter des programmes. Mais les criminels ont configuré un serveur pour qu'il réponde avec des données conçues de telle sorte qu'une partie de la « réponse » soit en réalité une autre commande ou un pointeur vers un logiciel malveillant, et non une simple adresse IP normale.
Microsoft a fourni les exemples suivants de commandes malveillantes :
Ces commandes lancent une chaîne d'infection qui télécharge une archive ZIP depuis un serveur externe. À partir de cette archive, elles extraient un script Python malveillant qui exécute des routines pour effectuer une reconnaissance, lancer des commandes de découverte et finalement déposer un Basic Visual Basic qui dépose et exécute ModeloRAT.
ModeloRAT est un cheval de Troie d'accès à distance (RAT) basé sur Python qui permet aux pirates de contrôler directement une Windows infectée.
En résumé, les cybercriminels ont trouvé un nouveau moyen d'utiliser un outil technique fiable et de lui faire secrètement exécuter la prochaine étape de l'attaque, le tout déclenché par la victime qui suit ce qui semble être des instructions d'assistance inoffensives de type copier-coller. À ce stade, ils peuvent céder le contrôle de leur système.
Comment rester en sécurité
Avec ClickFix qui sévit sans relâche – et qui ne semble pas prêt de disparaître –, il est important d'être vigilant, prudent et protégé.
- Ralentissez. Nevous précipitez paspour suivre les instructions d'une page Web ou d'une invite, surtout si celles-ci vous demandent d'exécuter des commandes sur votre appareil ou de copier-coller du code. Les pirates misent sur l'urgence pour contourner votre esprit critique, alors méfiez-vous des pages qui vous incitent à agir immédiatement. Les pages ClickFix sophistiquées ajoutent des comptes à rebours, des compteurs d'utilisateurs ou d'autres tactiques de pression pour vous pousser à agir rapidement.
- Évitez d'exécuter des commandes ou des scripts provenant de sources non fiables. N'exécutez jamaisde code ou de commandes copiés à partir de sites Web, d'e-mails ou de messages, sauf si vous faites confiance à la source et comprenez l'objectif de l'action. Vérifiez les instructions de manière indépendante. Si un site Web vous demande d'exécuter une commande ou d'effectuer une action technique, consultez la documentation officielle ou contactez le service d'assistance avant de continuer.
- Limitez l'utilisation du copier-coller pour les commandes.Taper manuellementles commandes au lieu de les copier-coller peut réduire le risque d'exécuter à votre insu des charges utiles malveillantes cachées dans le texte copié.
- Sécurisez vos appareils. Utilisezunesolution anti-malwareà jour et en temps réel, dotée d'un composant de protection Web.
- Informez-vous sur les techniques d'attaque en constante évolution.Comprendre que les attaques peuvent provenir de vecteurs inattendus et évoluer permet de rester vigilant. Continuez à lire notre blog !
Conseil de pro :Saviez-vous que le logiciel gratuit Malwarebytes Browser Guard vous avertit lorsqu'un site web tente de copier quelque chose dans votre presse-papiers ?
Nous ne nous contentons pas de signaler les menaces, nous contribuons à protéger l'ensemble de votre identité numérique.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Protégez vos informations personnelles et celles de votre famille en utilisant une protection d'identité.
