🔍 Contexte

Article de recherche publié le 16 juillet 2026 par Toni Dujmović, analyste chez ReversingLabs, basé sur une investigation réelle déclenchée par une attaque de type watering hole ciblant le site d’une association étudiante universitaire.

🎯 Mécanisme d’attaque ClickFix

ClickFix est une technique d’ingénierie sociale qui exploite la confiance des utilisateurs plutôt que leurs lacunes en connaissances. Le déroulement type :

  • La victime atterrit sur une page frauduleuse imitant une vérification Google, une mise à jour navigateur ou une erreur Cloudflare
  • Un script JavaScript écrit silencieusement une commande malveillante dans le presse-papiers de la victime avant toute interaction
  • La victime est invitée à ouvrir le dialogue Windows Run (Win+R) ou le Terminal macOS, coller la commande et l’exécuter
  • Le payload s’exécute entièrement en mémoire, sans toucher le disque
  • La chaîne d’exécution passe par des binaires système légitimes signés (PowerShell, mshta.exe, curl, rundll32.exe) — technique LOLBaS

🏭 Industrialisation via MaaS

ClickFix est désormais un Malware-as-a-Service (MaaS) mature :

  • Kits vendus entre 250 $/mois et 1 800 $ (licence à vie avec mises à jour)
  • Templates de leurres préconstruits (CAPTCHA Cloudflare, mises à jour navigateur)
  • Rotation de domaines, intégration de payloads, partenariats malvertising
  • Support client via Telegram
  • Bypass AV annoncé comme fonctionnalité
  • Une plateforme MaaS exposée gérait plusieurs opérateurs simultanément, suivait des wallets crypto, livrait un RAT Node.js sans écriture disque, et routait le C2 via gRPC sur Tor

🦠 Cas concret : watering hole universitaire

Dans le cas analysé, le payload était zuhe.dll, un RAT post-exploitation basé sur Go avec :

  • 3 couches d’obfuscation
  • Vérification anti-sandbox (14 environnements détectés)
  • C2 multi-canal
  • Collecte de credentials, cookies, tokens de session, données autofill sur tous les navigateurs Chromium et Firefox
  • Exécution dans un processus Windows légitime, sans prompt UAC

La campagne utilisait également des smart contracts Ethereum pour récupérer les payloads, rendant le blocage d’infrastructure impossible.

📊 Ampleur détectée

  • Plus de 4 000 échantillons ClickFix identifiés via une règle YARA développée par ReversingLabs
  • 123 leurres ClickFix confirmés ayant échappé à tous les moteurs AV
  • Certains échantillons détectés dans les 48 heures suivant leur apparition

🧰 Payloads observés

  • Lumma Stealer (payload le plus fréquent)
  • XWorm, AsyncRAT, NetSupport, SectopRAT, DarkGate (RATs)

📄 Type d’article

Analyse technique approfondie publiée par ReversingLabs, visant à documenter la technique ClickFix, son industrialisation, ses mécanismes d’évasion et les points d’intervention défensifs structurels.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
  • T1218.011 — System Binary Proxy Execution: Rundll32 (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1115 — Clipboard Data (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1102 — Web Service (Command and Control)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1189 — Drive-by Compromise (Initial Access)

IOC

  • Fichiers : zuhe.dll

Malware / Outils

  • Lumma Stealer (stealer)
  • XWorm (rat)
  • AsyncRAT (rat)
  • NetSupport (rat)
  • SectopRAT (rat)
  • DarkGate (rat)
  • zuhe.dll (rat)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ reversinglabs.com — source non référencée (0pts)
  • ✅ 11735 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.reversinglabs.com/blog/clickfix-attacks-your-trust