Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms.

Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant.

Sur ce partage, un fichier LNK déguisé en PDF lance le téléchargement du véritable AnyDesk (pour brouiller les pistes) tout en récupérant parallèlement un paquet MSI depuis chat1[.]store, lequel capte le nom de la machine via un sous-domaine construit avec %COMPUTERNAME%. Le MSI contient un CustomActionDLL et une archive CAB incluant un script de nettoyage (1.js) et un dropper MetaStealer (ls26.exe) protégé par Private EXE Protector.

Une fois exécuté, MetaStealer exfiltre des identifiants et des fichiers vers une infrastructure C2 incluant macawiwmaacckuow[.]xyz et des domaines associés. Cette chaîne d’attaque illustre une évolution des techniques d’ingénierie sociale et contourne les défenses se limitant au blocage de la boîte de dialogue Exécuter de Windows.

Indicateurs et artefacts (IOCs) 📌

  • Domaines: anydeesk[.]ink, chat1[.]store, macawiwmaacckuow[.]xyz
  • Fichiers/artefacts: LNK déguisé en PDF, paquet MSI avec CustomActionDLL et CAB, script 1.js, dropper ls26.exe, binaire protégé par Private EXE Protector

Tactiques/Techniques observées (TTPs) 🔍

  • Ingénierie sociale via faux Cloudflare Turnstile et faux installateur AnyDesk
  • Détournement du protocole search-ms pour ouvrir l’Explorateur Windows
  • Redirection vers un partage SMB contrôlé par l’attaquant
  • Utilisation de fichiers LNK déguisés et de paquets MSI avec actions personnalisées
  • Exfiltration d’identifiants et de fichiers vers C2

Type d’article: analyse de menace présentant la chaîne d’infection, les artefacts et l’infrastructure C2 observés.

🔗 Source originale : https://www.huntress.com/blog/fake-anydesk-clickfix-metastealer-malware