Elastic Security Labs a détecté une augmentation des campagnes utilisant la technique ClickFix, une méthode d’ingénierie sociale qui incite les utilisateurs à exécuter du code malveillant via des commandes PowerShell. Cette technique est exploitée pour déployer des Remote Access Trojans (RATs) et des malware voleurs d’informations.
Le rapport met en lumière l’utilisation de GHOSTPULSE, un chargeur de payloads multi-étapes, pour introduire des versions mises à jour de malwares tels que ARECHCLIENT2. Cette campagne commence par un leurre ClickFix, suivi du déploiement de GHOSTPULSE, qui charge ensuite un loader .NET intermédiaire pour finalement injecter ARECHCLIENT2 en mémoire.
L’infection débute par une page de phishing imitant une vérification CAPTCHA, qui trompe les utilisateurs en copiant un script PowerShell malveillant dans le presse-papiers. Ce script télécharge et exécute des composants de GHOSTPULSE, utilisant le DLL sideloading pour charger des payloads malveillants.
Le rapport est une analyse technique détaillée de la campagne, visant à informer sur les méthodes d’attaque et les infrastructures utilisées par les acteurs malveillants pour compromettre les systèmes et voler des données sensibles.
🧠 TTP et IOC détecté
TTP
T1204.002 - User Execution: Malicious File, T1059.001 - Command and Scripting Interpreter: PowerShell, T1105 - Ingress Tool Transfer, T1574.002 - Hijack Execution Flow: DLL Sideloading, T1055 - Process Injection
🔗 Source originale : https://www.elastic.co/security-labs/a-wretch-client