Une menace d'un nouveau genre, baptisée ClickFix, prend pour cible les utilisateurs du système d'exploitation de Microsoft. Identifiée par les chercheurs en sécurité de BlackPoint Cyber, cette cyberattaque ne repose pas sur une faille technique, mais sur une manipulation psychologique habile. Elle incite l'internaute à exécuter lui-même les actions qui mèneront à l'infection de sa machine par un logiciel malveillant particulièrement vorace.
Comment un simple test de vérification se transforme-t-il en piège ?
L'attaque débute sur une page web piégée affichant un faux test CAPTCHA, ce mécanisme censé distinguer les humains des robots. Au lieu de cocher une case ou d'identifier des images, l'utilisateur est invité à prouver son humanité d'une manière inhabituelle.
La page lui demande d'ouvrir la fenêtre « Exécuter » de Windows (via le raccourci Win + R) et d'y copier-coller une commande fournie. L'utilisateur, pensant suivre une procédure de sécurité légitime, exécute ainsi lui-même le script malveillant. Comme l'action est initiée manuellement par la victime, les systèmes de sécurité ne déclenchent aucune alerte, considérant l'opération comme légitime.
Quelle est la mécanique utilisée pour contourner les antivirus ?
La commande exécutée détourne un script officiel de Microsoft, SyncAppvPublishingServer.vbs, un outil lié à la virtualisation d'applications en entreprise. En utilisant ce composant signé et digne de confiance, connu sous le nom de LOLBin (Living Off the Land Binary), les pirates masquent leur activité. Ce script est utilisé comme un cheval de Troie pour lancer PowerShell.
Les pirates ont conçu une chaîne d'infection complexe pour déjouer les analyses. Le script vérifie si la commande a bien été copiée manuellement et non par un système automatisé. Si un environnement d'analyse est détecté, le processus se met en pause. Les instructions sont ensuite récupérées depuis un événement public sur Google Agenda, tandis que des fragments du code malveillant sont cachés dans des images PNG. Cette technique, la stéganographie, dissimule des données au cœur des pixels d'une image.
Quel est le but final de cette attaque et comment s'en protéger ?
L'objectif de toute cette manœuvre est de déployer le virus Amatera, un « infostealer » redoutable. Une fois actif, ce malware fouille les navigateurs web de la victime pour y dérober tous les identifiants enregistrés, les cookies de session et les informations de cartes bancaires. Ces données sensibles sont ensuite exfiltrées discrètement vers un serveur contrôlé par les cybercriminels.
Pour se prémunir contre ce type de menace, la règle d'or est simple : ne jamais copier et coller une commande provenant d'un site web inconnu dans la fenêtre « Exécuter ». Il est également conseillé par les chercheurs de désactiver les composants App-V s'ils ne sont pas utilisés et de s'assurer que le système d'exploitation et les logiciels de sécurité sont constamment à jour.