« ClickFix est une technique d’ingénierie sociale dans laquelle les acteurs malveillants manipulent les utilisateurs […] en présentant de fausses invites système ou des vérifications CAPTCHA. Ces invites guident les victimes » pour qu’elles procèdent à des opérations, sur leur ordinateur, qui conduiront in fine à sa compromission, explique Sekoia.io.
Ces actions peuvent prendre différentes formes, comme par exemple cliquer sur un bouton dans la page Web – qui conduira à la copie d’une commande dans le presse-papier – suivi d’une ouverture d’une fenêtre d’exécution de lignes de commande, puis d’un coller et d’une validation par la touche Entrée.
La ligne de commande est alors exécutée. L’utilisateur, de bonne foi, pense contribuer ainsi au règlement d’un problème avec son ordinateur, qui lui aura été signalé sur la page Web. Sans le savoir, il vient d’en déclencher l’infection par un acteur malveillant.
Le terme de ClickFix est délibérément générique, parce que les messages associés peuvent varier fortement d’une campagne à l’autre. Cette technique qui, sur son principe, n’est pas nouvelle, peut être employée sur le Web ou dans un e-mail, notamment.
Le framework ATT&CK du MITRE vient de l’intégrer sous la référence T1204.004 en précisant que « les adversaires peuvent également utiliser des courriels d’hameçonnage à cette fin. Lorsqu’un utilisateur tente d’ouvrir une pièce jointe, il peut se voir présenter une fausse erreur et se voir proposer une commande malveillante à coller en guise de solution ».
Mais qui utilise cette technique ? Des cybercriminels, notamment pour distribuer des cleptogiciels, ces maliciels dérobeurs d’identifiants, ou infostealers. Mais également des chevaux de Troie. Ce qui vaut notamment pour des acteurs associés à l’activité de l’enseigne de rançongiciel Interlock, du moins récemment. Disposant d’un site vitrine accessible via Tor et suivi depuis la fin octobre 2024, elle apparaît active depuis au moins la fin septembre de l’an dernier. Elle a revendiqué moins d’une trentaine de victimes à ce jour.
Mais ce n’est pas tout. Des acteurs malveillants liés à des États-nations exploitent aussi cette technique d’ingénierie sociale. Selon Microsoft, cela vaut par exemple pour l’acteur suivi sous le nom de Kimsuky, et lié à la Corée du Nord. Proofpoint a fait les mêmes observations.
Celles de Sekoia.io pointent dans la même direction. Là, il s’agit d’une campagne s’appuyant sur de faux sites de recrutement, baptisée ClickFake Interview : « contrairement aux campagnes précédemment documentées contre les demandeurs d’emploi dans le secteur des crypto-monnaies, telles que Operation Dream Job et Contagious Interview, ClickFake Interview s’appuie sur de faux sites d’entretien d’embauche pour déployer une porte dérobée en Go – GolangGhost – sur les environnements Windows et macOS en utilisant la tactique désormais tristement célèbre de ClickFix ».
Pour les analystes de Sekoia, cette campagne ClickFake Interview s’inscrit dans le prolongement de la campagne Contagious Interview, active depuis au moins décembre 2022. Ils l’attribuent au célèbre groupe Lazarus, très actif dans le vol de crypto-actifs pour alimenter Pyongyang en liquidités.
Plus de détails sur l’article original.