Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell.
🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive.
🧩 Détails techniques: la chaîne télécharge des charges utiles obfusquées depuis pharmacynod[.]com. Le malware repose sur PowerShell de bout en bout et emploie des techniques d’évasion telles que la compression GZip, l’encodage Base64 et l’inversion de chaînes. L’attaque « living off the land » limite les artefacts classiques en s’appuyant sur des scripts et outils natifs.
📡 Commande et contrôle: le RAT communique en HTTPS et intègre des codes de commande codés en dur (7979, 5322, 4622, 2474) pour orchestrer plusieurs fonctions, notamment le téléchargement de fichiers, l’exécution de commandes et l’exfiltration de données.
🎯 Ciblage et attribution: les cibles sont des organisations en Israël. Une attribution à MuddyWater est évoquée mais reste non concluante selon Fortinet. Le billet a pour but d’exposer la chaîne d’attaque et les techniques d’obfuscation observées.
🔎 IOCs et TTPs
- IOCs:
- Domaine d’hébergement de charge utile: pharmacynod[.]com
- Codes de commande C2: 7979, 5322, 4622, 2474
- TTPs:
- Phishing via infrastructure email compromise et page Microsoft Teams factice
- Social engineering « ClickFix » pour exécuter des commandes PowerShell encodées (Base64)
- Obfuscation: GZip, Base64, inversion de chaînes
- RAT PowerShell « living off the land » avec C2 HTTPS
Type d’article: analyse de menace publiée par Fortinet détaillant une chaîne d’attaque et ses techniques.
🧠 TTPs et IOCs détectés
TTPs
Phishing via infrastructure email compromise et page Microsoft Teams factice; Social engineering « ClickFix » pour exécuter des commandes PowerShell encodées (Base64); Obfuscation: GZip, Base64, inversion de chaînes; RAT PowerShell « living off the land » avec C2 HTTPS
IOCs
Domaine d’hébergement de charge utile: pharmacynod[.]com; Codes de commande C2: 7979, 5322, 4622, 2474
🔗 Source originale : https://www.fortinet.com/blog/threat-research/clickfix-to-command-a-full-powershell-attack-chain