Source: Push Security (billet de blog de Dan Green). Contexte: analyse des attaques ClickFix, une technique d’ingénierie sociale qui pousse les victimes à copier-coller et exécuter du code malveillant localement.

• Évolution des leurres: des pages imitant des services légitimes (ex. une page « Cloudflare ») deviennent très crédibles avec vidéo intégrée, compte à rebours et compteur d’utilisateurs « vérifiés », augmentant la pression sociale et le taux de succès. Le code est copié dans le sandbox du navigateur, ce qui échappe aux outils de sécurité traditionnels tant que l’exécution n’a pas lieu sur l’endpoint.

• Vecteurs de livraison: le canal principal observé n’est pas l’e-mail mais Google Search (empoisonnement de résultats et malvertising). Selon les pages interceptées par Push où le vecteur a été observé, 4 sur 5 provenaient de Google Search. Les acteurs compromettent des sites légitimes ou en créent de nouveaux optimisés SEO, et recourent à des techniques d’évasion: rotation/camouflage de domaines, protections anti-bot, obfuscation lourde pour déjouer les crawlers et proxys.

• Payloads et exécution: au-delà de mshta et PowerShell, les attaquants abusent un large éventail de LOLBINs sur différents OS. Même si l’on peut désactiver Win+R ou restreindre l’exécution depuis la barre d’adresse de l’Explorateur, il reste difficile d’empêcher l’abus d’autres services légitimes. Un exemple récent, « cache smuggling », combine ClickFix et JavaScript pour mettre en cache localement un fichier malveillant déguisé en JPG, permettant d’exécuter un zip sans requêtes réseau supplémentaires.

• Impact et détection: comme l’action de copie est initiée par l’utilisateur et se produit dans le navigateur, la détection en amont est limitée; l’EDR devient la « dernière et seule » ligne de défense sur le poste, après le déclenchement initial (souvent stager). Des lacunes existent notamment en contexte BYOD non géré. D’après le Microsoft Digital Defense Report 2025, ClickFix serait l’axe d’accès initial le plus courant, impliqué dans 47% des attaques sur l’année écoulée.

• Produit mis en avant: Push Security annonce une fonctionnalité de détection/blocage du « copier-coller malveillant » directement dans le navigateur, présentée comme universelle et moins intrusive que la DLP, afin d’ajouter une couche de protection amont et de réduire la charge sur l’EDR. 🛡️

IOCs: aucun indicateur technique (domaines, IP, hachages) n’est fourni dans l’article.

TTPs (extraits):

  • Ingénierie sociale via pages de leurre très crédibles (fausse page Cloudflare, vidéo, compte à rebours).
  • Distribution via empoisonnement de recherche et malvertising; compromission de sites légitimes et hébergement/SEO dresseurs.
  • Évasion: rotation de domaines, protections anti-bot, forte obfuscation, camouflage de contenu.
  • Exécution locale via LOLBINs (PowerShell, mshta), abus d’interfaces légitimes (Win+R, Explorateur).
  • « Cache smuggling »: mise en cache locale d’un binaire déguisé pour exécution sans nouvelle requête réseau.

Type d’article: analyse de menace détaillant l’évolution de ClickFix et présentant une nouvelle fonctionnalité produit de Push Security.

🧠 TTPs et IOCs détectés

TTP

Ingénierie sociale via pages de leurre très crédibles (fausse page Cloudflare, vidéo, compte à rebours); Distribution via empoisonnement de recherche et malvertising; compromission de sites légitimes et hébergement/SEO dresseurs; Évasion: rotation de domaines, protections anti-bot, forte obfuscation, camouflage de contenu; Exécution locale via LOLBINs (PowerShell, mshta), abus d’interfaces légitimes (Win+R, Explorateur); Cache smuggling: mise en cache locale d’un binaire déguisé pour exécution sans nouvelle requête réseau.

IOC

Aucun indicateur technique (domaines, IP, hachages) n’est fourni dans l’article.

🔗 Source originale : https://pushsecurity.com/blog/the-most-advanced-clickfix-yet/