Selon Unit 42 (Palo Alto Networks), un kit de phishing automatisé nommé « IUAM ClickFix Generator » démocratise la technique de social engineering ClickFix en permettant à des acteurs peu qualifiés de créer des pages imitant des vérifications de navigateur afin d’amener les victimes à copier-coller des commandes malveillantes. Les chercheurs ont observé des campagnes actives diffusant les infostealers DeerStealer et Odyssey sur Windows et macOS, révélant un écosystème croissant de phishing-as-a-service et malware-as-a-service. 🎣
Le kit, web-based (Express + Tailwind CSS) et hébergé sur 38.242.212[.]5 (actif de juillet à octobre 2025), génère des pages de phishing qui usurpent les challenges de vérification CDN. Il intègre des fonctionnalités avancées : détection d’OS via JavaScript (navigator.userAgent), injection automatique dans le presse-papiers de commandes PowerShell/Terminal, templates HTML personnalisables et blocage des mobiles. 🧩
Les campagnes identifiées incluent plusieurs variantes :
- Windows-only (DeerStealer) : exécution PowerShell téléchargeant des scripts batch et des payloads MSI.
- Multi-plateforme (Odyssey) : livraison à macOS via commandes encodées Base64 et fourniture de commandes leurres aux utilisateurs Windows.
- macOS-only (Odyssey) : utilisation de nohup bash pour la persistance.
Les différentes pages partagent une structure HTML/JavaScript cohérente avec des commentaires de développeur en russe, indiquant un codebase commun. Les campagnes Odyssey s’appuient sur plusieurs serveurs C2 et un modèle MaaS avec personnalisation affiliée. 🖥️🍎
IOCs observés:
- IP d’hébergement du kit : 38.242.212[.]5 (actif juillet–octobre 2025)
- C2 : multiples (non précisés)
TTPs clés:
- ClickFix (leurres de « vérification navigateur ») et social engineering incitant au copier-coller de commandes
- CDN spoofing / browser verification spoofing
- Détection d’OS (navigator.userAgent)
- Clipboard injection de commandes PowerShell/Terminal
- Livraison via PowerShell, scripts .bat, MSI (Windows)
- Commandes Base64 et nohup bash pour la persistance (macOS)
- Blocage des appareils mobiles
- Phishing-as-a-service / Malware-as-a-service
Il s’agit d’une analyse de menace visant à documenter un kit de phishing, ses fonctionnalités et ses campagnes associées.
🧠 TTPs et IOCs détectés
TTPs
[‘ClickFix (leurres de « vérification navigateur »)’, ‘Social engineering incitant au copier-coller de commandes’, ‘CDN spoofing / browser verification spoofing’, ‘Détection d’OS (navigator.userAgent)’, ‘Clipboard injection de commandes PowerShell/Terminal’, ‘Livraison via PowerShell, scripts .bat, MSI (Windows)’, ‘Commandes Base64 et nohup bash pour la persistance (macOS)’, ‘Blocage des appareils mobiles’, ‘Phishing-as-a-service / Malware-as-a-service’]
IOCs
[‘38.242.212[.]5’]
🔗 Source originale : https://unit42.paloaltonetworks.com/clickfix-generator-first-of-its-kind/