Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique détaillant, avec exemples et IOCs, l’essor de la technique d’ingénierie sociale « ClickFix » observée depuis 2024.

• ClickFix insère une étape d’« interaction humaine » dans la chaîne d’attaque via des pages d’atterrissage qui miment des vérifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exécutent elles‑mêmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrées incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifié). Beaucoup d’exécutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe).

• Vecteurs d’arrivée: phishing (Storm‑1607, Storm‑0426…), malvertising (sites de streaming gratuits redirigeant vers des leurres ClickFix) et compromission de sites (ex. Storm‑0249 abusant probablement de vulnérabilités WordPress). Des leurres imitent Microsoft Word, Cloudflare Turnstile, reCAPTCHA, ou Discord; le code JavaScript peut être obfusqué, fragmenté et charger des ressources distantes; le texte malveillant est copié dans le presse‑papier via navigator.clipboard.writeText puis collé par l’utilisateur.

• Étude de cas Lampion (mai 2025, actif en juin 2025): phishing vers un faux site de l’autorité fiscale portugaise; un PowerShell télécharge un VBScript obfusqué qui en chaîne d’autres VBS (reco, anti‑AV/sandbox, exfil), crée un .cmd au démarrage, force un redémarrage, puis rundll32.exe lance une DLL – le chargeur final Lampion était référencé mais neutralisé (commande de téléchargement commentée). Campagnes analogues observées au Portugal, Suisse, Luxembourg, France, Hongrie, Mexique.

• Au‑delà de Windows: campagne macOS (mai‑juin 2025) livrant Atomic macOS Stealer (AMOS) via un site thématique « Spectrum » et un faux CAPTCHA. Le flux copie une commande différente selon l’OS; sur macOS, la chaîne obtient le mot de passe utilisateur (dscl . -authonly), enlève la quarantaine (sudo xattr), rend exécutable et lance un binaire « update » dans /tmp (famille AMOS, variantes Poseidon/Odyssey). D’autres campagnes usurpent l’Administration de la Sécurité Sociale (SSA) américaine pour pousser ScreenConnect.

• Détection et protections Microsoft: couverture via Defender XDR, SmartScreen, AMSI, Defender for Office 365 (détections « fake CAPTCHA ») et Network Protection (blocage de C2/hosts détectés par l’analyse des RunMRU). Indices forensiques clés: RunMRU (explorer.exe) contenant des commandes avec PowerShell/mshta/curl/msiexec/rundll32, chaînes obfusquées (Base64, concaténations, caractères d’échappement ^, nesting), extensions déguisées (.png/.mp3/.mp4), double extensions, raccourcisseurs d’URL, et marqueurs textuels (ex: ✅, « I am not a robot »). Microsoft publie des alertes XDR, des requêtes de chasse (Defender XDR, Sentinel/ASIM) et des IOCs. Des kits ClickFix (« Win+R ») sont vendus sur des forums (200–1 500 $/mois), avec leurres configurables (Cloudflare/Google/Discord), anti‑VM/UAC bypass, persistance, multilingue.

IOC — domaines/URL 🌐

  • Domains: mein-lonos-cloude.de; derko-meru.online; objectstorage.ap-singapore-2.oraclecloud.com; tesra.shop; zzzp.live; cqsf.live; access-ssa-gov.es; binancepizza.info; panel-spectrum.net
  • URLs: access-ssa-gov.es/ClientSetup.exe; applemacios.com/vv/install.sh; applemacios.com/vv/update; guildmerger.co/verify/eminem; files.catbox.moe/snenal.bat

IOC — adresses IP 🔢

  • 185.234.72.186; 45.94.31.176; 3.138.123.13; 16.171.23.221; 3.23.103.13; 83.242.96.159; 5.8.9.77

IOC — hachages SHA‑256 🧬

  • 061d378ffed42913d537da177de5321c67178e27e26fca9337e472384d2798c8
  • 592ef7705b9b91e37653f9d376b5492b08b2e033888ed54a0fd08ab043114718
  • 8fb329ae6b590c545c242f0bef98191965f7afed42352a0c84ca3ccc63f68629
  • d9ffe7d433d715a2bf9a31168656e965b893535ab2e2d9cab81d99f0ce0d10c9
  • f77c924244765351609777434e0e51603e7b84c5a13eef7d5ec730823fc5ebab

TTPs observées (exemples) 🧪

  • Initial access: phishing (HTML/URLs avec TDS Prometheus), malvertising, drive‑by sur sites compromis; usurpation de marques (SSA, Cloudflare, Discord, Spectrum)
  • Ingénierie sociale: faux CAPTCHA/human check; copier dans le presse‑papier puis exécution manuelle via Win+R/Terminal/PowerShell
  • Exécution/évasion: LOLBins (PowerShell/mshta/cmd/rundll32/msbuild/regasm), fileless, injection en mémoire/.NET CLR; obfuscations (Base64, concaténations/splitting, caractères d’échappement, nesting, noms de fichiers médiatiques, double extension, raccourcisseurs)
  • Persistance/latéral: tâches planifiées cachées, dossier Startup, RATs pour activité interactive; abus d’outils légitimes (ScreenConnect)
  • Artefacts/détection: clés RunMRU (explorer.exe), comportements PowerShell/HTA, détection AMSI/SmartScreen/XDR; blocage réseau des C2

Conclusion: il s’agit d’une analyse de menace visant à documenter la technique ClickFix, ses variantes, des campagnes actives, ainsi que les IOCs, détections et pistes de chasse publiées par Microsoft.

🧠 TTPs et IOCs détectés

TTP

[‘Initial access: phishing (HTML/URLs avec TDS Prometheus), malvertising, drive-by sur sites compromis; usurpation de marques (SSA, Cloudflare, Discord, Spectrum)’, ‘Ingénierie sociale: faux CAPTCHA/human check; copier dans le presse-papier puis exécution manuelle via Win+R/Terminal/PowerShell’, ‘Exécution/évasion: LOLBins (PowerShell/mshta/cmd/rundll32/msbuild/regasm), fileless, injection en mémoire/.NET CLR; obfuscations (Base64, concaténations/splitting, caractères d’échappement, nesting, noms de fichiers médiatiques, double extension, raccourcisseurs)’, ‘Persistance/latéral: tâches planifiées cachées, dossier Startup, RATs pour activité interactive; abus d’outils légitimes (ScreenConnect)’, ‘Artefacts/détection: clés RunMRU (explorer.exe), comportements PowerShell/HTA, détection AMSI/SmartScreen/XDR; blocage réseau des C2’]

IOC

{‘domains’: [‘mein-lonos-cloude.de’, ‘derko-meru.online’, ‘objectstorage.ap-singapore-2.oraclecloud.com’, ’tesra.shop’, ‘zzzp.live’, ‘cqsf.live’, ‘access-ssa-gov.es’, ‘binancepizza.info’, ‘panel-spectrum.net’], ‘urls’: [‘access-ssa-gov.es/ClientSetup.exe’, ‘applemacios.com/vv/install.sh’, ‘applemacios.com/vv/update’, ‘guildmerger.co/verify/eminem’, ‘files.catbox.moe/snenal.bat’], ‘ip_addresses’: [‘185.234.72.186’, ‘45.94.31.176’, ‘3.138.123.13’, ‘16.171.23.221’, ‘3.23.103.13’, ‘83.242.96.159’, ‘5.8.9.77’], ‘hashes’: [‘061d378ffed42913d537da177de5321c67178e27e26fca9337e472384d2798c8’, ‘592ef7705b9b91e37653f9d376b5492b08b2e033888ed54a0fd08ab043114718’, ‘8fb329ae6b590c545c242f0bef98191965f7afed42352a0c84ca3ccc63f68629’, ‘d9ffe7d433d715a2bf9a31168656e965b893535ab2e2d9cab81d99f0ce0d10c9’, ‘f77c924244765351609777434e0e51603e7b84c5a13eef7d5ec730823fc5ebab’]}

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/