🔍 Contexte
Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte.
🎯 Vecteur d’attaque
La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU.
⚙️ Chaîne d’exécution (kill chain)
- mshta exécuté via l’utilitaire Run Windows → URL pointant vers
claude.msixbundle - Le fichier MSIX est en réalité une archive ZIP contenant une application HTA embarquée
- L’HTA contient un script Visual Basic obfusqué qui génère et exécute un script PowerShell encodé via
cmd.exe /v:onetShellExec - Le PowerShell de staging génère un hash MD5 basé sur
COMPUTERNAMEetUSERNAMEpour construire une URL dynamique et télécharger un second script PowerShell - Ce script effectue un patch AMSI en écrasant le champ
amsiContextdansSystem.Management.Automation.AmsiUtilsavec la valeur0x41414141 - Téléchargement et exécution d’un troisième script PowerShell contenant des chaînes hautement obfusquées et un large tableau de bytes
- Décodage base64 + routine de désobfuscation → exécution d’un ScriptBlock PowerShell
- Injection de processus via la bibliothèque d’interopérabilité .NET : shellcode chiffré déchiffré par routine XOR, puis injecté via les API NT natives
🛠️ API Windows utilisées pour l’injection
NtAllocateVirtualMemoryNtProtectVirtualMemoryNtCreateThreadExNtWaitForSingleObjectNtFreeVirtualMemoryNtClose
🏁 Payload final
Le payload final est un information stealer ; toute credential stockée sur le système compromis est considérée comme exposée.
📄 Type d’article
Il s’agit d’une analyse technique publiée par Rapid7, visant à documenter une campagne active, illustrer les capacités de détection MDR via InsightIDR, et fournir des IOCs et TTPs exploitables.
🧠 TTPs et IOCs détectés
TTP
- T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
- T1027.013 — Obfuscated Files or Information: Encrypted/Encoded File (Defense Evasion)
- T1027.010 — Obfuscated Files or Information: Command Obfuscation (Defense Evasion)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1055 — Process Injection (Defense Evasion)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
IOC
- Domaines :
oakenfjrod.ru— VT · URLhaus · ThreatFox - Domaines :
download-version.1-5-8.com— VT · URLhaus · ThreatFox - Domaines :
download.get-version.com— VT · URLhaus · ThreatFox - URLs :
http://download-version.1-5-8.com/claude.msixbundle— URLhaus - Fichiers :
claude.msixbundle - Fichiers :
MicrosoftBing_1.1.37.0_ARM64.msix - Chemins :
c:\Windows\System32\cmd.exe - Chemins :
c:\Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Malware / Outils
- Information Stealer (non nommé) (stealer)
- HTA Dropper (loader)
🟢 Indice de vérification factuelle : 65/100 (haute)
- ⬜ rapid7.com — source non référencée (0pts)
- ✅ 8429 chars — texte complet (fulltext extrait) (15pts)
- ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 3/4 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
oakenfjrod.ru(domain) → VT (6/94 détections) + ThreatFox (Unknown Stealer)download-version.1-5-8.com(domain) → VT (18/94 détections) + ThreatFox (Unknown malware)download.get-version.com(domain) → VT (6/94 détections)
🔗 Source originale : https://www.rapid7.com/blog/post/ve-clickfix-phishing-campaign-fake-claude-installer/