Source et contexte: Expel (blog, Marcus Hutchins, 20 janv. 2026) publie une analyse technique de la campagne malware ClearFake/ClickFix, active sur des centaines de sites compromis et axée sur l’évasion défensive.

• Ce que fait ClearFake: framework JavaScript malveillant injecté sur des sites piratés, affichant un faux CAPTCHA “ClickFix” qui incite l’utilisateur à faire Win+R puis à coller/valider une commande, déclenchant l’infection. La chaîne JS est obfusquée et prépare des charges ultérieures.

• Hébergement sur blockchain (EtherHiding): Le chargeur JS interroge la BNB Smart Chain testnet (BSC) via des RPC publics pour récupérer des charges stockées dans des smart contracts (fonctions set()/get()). Les données sont Base64, décodées puis eval() en JS. Le 2e étage applique des anti-analyses (détection de navigateurs headless). Un suivi d’infection évite les réinfections via un UUID inscrit dans un autre smart contract. Expel observe 149 199 UUIDs soumis depuis le 21 août 2025, suggérant une volumétrie d’infections significative.

• Nouvelle technique LOTL/proxy execution: La campagne délaisse mshta.exe pour abuser SyncAppvPublishingServer.vbs (composant Windows légitime) via injection de commande afin de lancer PowerShell en mode caché (-WindowStyle Hidden). Le code PowerShell est chargé en mémoire et obfusqué par usage d’alias/régex: récupération d’Invoke-Expression via Get-Alias et d’Invoke-RestMethod via Get-Command, puis téléchargement/exec d’un script hébergé sur CDN.

• Evasion et infrastructure: La charge PowerShell est servie via jsDelivr (CDN), rendant le blocage par domaines/IP moins efficace. L’usage combiné de blockchain immuable, endpoints RPC légitimes, CDN, exécution en mémoire et d’un binaire/script Windows de confiance accroît fortement la furtivité et complique les détections EDR 🔎.

• Recommandations rapportées par Expel: Possibles blocages des endpoints Web3 si non nécessaires, restriction/blocage de SyncAppvPublishingServer.vbs, et restriction de PowerShell pour les comptes non-systèmes (avec nuances d’usage). L’article est une analyse de menace visant à documenter TTPs et IOCs pour la défense.

IOC(s)

  • Smart contracts (1er étage): 0xA1decFB75C8C0CA28C10517ce56B710baf727d2e
  • Smart contracts (2e étage): 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff
  • Smart contract (tracker UUID): 0xf4a32588b50a59a82fbA148d436081A48d80832A (sélecteur: 0x24513bb6)
  • Wallet propriétaire du contrat: 0xd71f4cdC84420d2bd07F50787B4F998b4c2d5290
  • Endpoints RPC BSC testnet: bsc-testnet.drpc.org ; https://data-seed-prebsc-1-s1.bnbchain.org:8545
  • URL payload PowerShell (CDN): cdn.jsdelivr[.]net/gh/clock-cheking/expert-barnacle/load

TTP(s)

  • Ingénierie sociale ClickFix: faux CAPTCHA demandant Win+R, coller et exécuter
  • EtherHiding: stockage/récupération de charges via smart contracts BSC testnet (eth_call → get())
  • LOTL / Proxy Execution: abus de SyncAppvPublishingServer.vbs avec injection de commande pour lancer PowerShell caché
  • Exécution en mémoire et évasion EDR: alias/régex pour Invoke-Expression et Invoke-RestMethod, pas d’écriture disque
  • Infrastructure légitime détournée: CDN jsDelivr et RPC publics pour limiter les blocages
  • Anti-analyse: détection d’environnements headless ; anti-réinfections via UUID sur chaîne
  • TDS possible: distribution de charges variées via sites compromis

🧠 TTPs et IOCs détectés

TTP

[‘Ingénierie sociale ClickFix: faux CAPTCHA demandant Win+R, coller et exécuter’, ‘EtherHiding: stockage/récupération de charges via smart contracts BSC testnet (eth_call → get())’, ‘LOTL / Proxy Execution: abus de SyncAppvPublishingServer.vbs avec injection de commande pour lancer PowerShell caché’, ‘Exécution en mémoire et évasion EDR: alias/régex pour Invoke-Expression et Invoke-RestMethod, pas d’écriture disque’, ‘Infrastructure légitime détournée: CDN jsDelivr et RPC publics pour limiter les blocages’, ‘Anti-analyse: détection d’environnements headless ; anti-réinfections via UUID sur chaîne’, ‘TDS possible: distribution de charges variées via sites compromis’]

IOC

[‘Smart contracts (1er étage): 0xA1decFB75C8C0CA28C10517ce56B710baf727d2e’, ‘Smart contracts (2e étage): 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff’, ‘Smart contract (tracker UUID): 0xf4a32588b50a59a82fbA148d436081A48d80832A (sélecteur: 0x24513bb6)’, ‘Wallet propriétaire du contrat: 0xd71f4cdC84420d2bd07F50787B4F998b4c2d5290’, ‘Endpoints RPC BSC testnet: bsc-testnet.drpc.org ; https://data-seed-prebsc-1-s1.bnbchain.org:8545’, ‘URL payload PowerShell (CDN): cdn.jsdelivr[.]net/gh/clock-cheking/expert-barnacle/load’]

🔗 Source originale : https://expel.com/blog/clearfake-new-lotl-techniques/