Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix.
• Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows.
• La suite a enchaîné plusieurs stages PowerShell (IEX) de download-and-execute depuis des domaines contrôlés par l’attaquant, la compilation dynamique de charges .NET via csc.exe depuis des répertoires temporaires utilisateur, et le déploiement de composants Python sous C:\ProgramData pour la persistance.
• Les activités post-intrusion incluaient de la reconnaissance Active Directory (relations d’approbation de domaine, découverte de serveurs, énumération des utilisateurs) et une tentative de vol d’identifiants de navigateurs via un script PowerShell téléchargé depuis 143.198.160[.]37.
• Ensemble, ces éléments décrivent une intrusion multi-étapes combinant ingénierie sociale, abus d’outils Windows natifs, PowerShell, .NET à la volée, et persistance Python, avec un accent sur la découverte AD et la collecte de credentials. Il s’agit d’une analyse de menace visant à exposer les TTPs observés.
IoCs observés:
- IP: 143.198.160[.]37
TTPs clés:
- Vecteur initial: malvertising + faux CAPTCHA (ClickFix-like), commande obfusquée collée dans Windows Run
- Exécution/LOLBins: cmd.exe imbriqués, finger.exe (TCP/79) pour test de connectivité, extraction via outils Windows
- Téléchargement/exécution: PowerShell IEX depuis des domaines attaquants
- Développement à la volée: compilation .NET avec csc.exe depuis %TEMP%
- Persistance: composants Python sous C:\ProgramData
- Découverte/Réco: reconnaissance Active Directory (trusts, serveurs, utilisateurs)
- Collecte: harvesting d’identifiants navigateurs via PowerShell
Type d’article et objectif: Analyse de menace décrivant une chaîne d’intrusion observée et ses TTPs.
🧠 TTPs et IOCs détectés
TTPs
[‘Malvertising’, ‘Faux CAPTCHA (ClickFix-like)’, ‘Commande obfusquée collée dans Windows Run’, ‘Exécution emboîtée de cmd.exe’, ‘Utilisation de finger.exe pour test de connectivité’, ‘Extraction de fichiers via outils Windows’, ‘PowerShell IEX pour téléchargement et exécution’, ‘Compilation .NET à la volée avec csc.exe’, ‘Persistance via composants Python sous C:\ProgramData’, ‘Reconnaissance Active Directory’, “Vol d’identifiants de navigateurs via PowerShell”]
IOCs
[‘IP: 143.198.160.37’]
🔗 Source originale : https://blog.deception.pro/blog/clickfix-hok-velvet-tempest-termite