ClickFix

Contexte: Infosecurity Magazine relaie une analyse du rapport « H1 2025 Malware and Vulnerability Trends » de Recorded Future (Insikt Group), publié le 28 août 2025. • Poids des acteurs étatiques 🎯: 53 % des exploits de vulnérabilités attribués au S1 2025 proviennent d’acteurs étatiques, motivés par des objectifs géopolitiques (espionnage, surveillance). La majorité de ces campagnes sont attribuées à des groupes liés à la Chine, ciblant prioritairement l’edge infrastructure et les solutions d’entreprise. ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique détaillant, avec exemples et IOCs, l’essor de la technique d’ingénierie sociale « ClickFix » observée depuis 2024. • ClickFix insère une étape d’« interaction humaine » dans la chaîne d’attaque via des pages d’atterrissage qui miment des vérifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exécutent elles‑mêmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrées incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifié). Beaucoup d’exécutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe). ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Elastic Security Labs a détecté une augmentation des campagnes utilisant la technique ClickFix, une méthode d’ingénierie sociale qui incite les utilisateurs à exécuter du code malveillant via des commandes PowerShell. Cette technique est exploitée pour déployer des Remote Access Trojans (RATs) et des malware voleurs d’informations. Le rapport met en lumière l’utilisation de GHOSTPULSE, un chargeur de payloads multi-étapes, pour introduire des versions mises à jour de malwares tels que ARECHCLIENT2. Cette campagne commence par un leurre ClickFix, suivi du déploiement de GHOSTPULSE, qui charge ensuite un loader .NET intermédiaire pour finalement injecter ARECHCLIENT2 en mémoire. ...

L’analyse publiée par Gi7w0rm relate une attaque de type FakeCaptcha qui a compromis le site légitime de l’Association Allemande pour le Droit International. Un utilisateur a été redirigé vers une page Captcha frauduleuse, prétendant être sécurisée par Cloudflare, qui lui demandait d’exécuter une commande Powershell. Cette commande effectuait une requête Web vers un site distant (amoliera[.]com) et utilisait Invoke-Expression pour exécuter le code malveillant reçu. L’attaque illustre une méthode où les attaquants exploitent la confiance des utilisateurs envers les Captchas, qui sont normalement conçus pour différencier les humains des bots. ...

Selon une publication de Malwarebytes, des cybercriminels exploitent la saison des vacances pour lancer une campagne de redirection via des sites de jeux et des réseaux sociaux vers de faux sites se faisant passer pour Booking.com. Cette campagne a commencé à mi-mai et les destinations de redirection changent tous les deux à trois jours. Les utilisateurs sont dirigés vers des sites utilisant une fausse CAPTCHA pour accéder au presse-papiers des visiteurs et les inciter à exécuter un commande PowerShell malveillante. Cette commande télécharge et exécute un fichier détecté comme Backdoor.AsyncRAT, permettant aux attaquants de contrôler à distance les appareils infectés. ...

L’article, publié par The Hacker News, met en lumière l’évolution du malware Latrodectus qui utilise désormais la technique de ClickFix pour se propager. ClickFix est une méthode de social engineering qui permet au malware de s’exécuter directement en mémoire, ce qui complique sa détection par les navigateurs et les solutions de sécurité traditionnelles. Cette technique est particulièrement préoccupante car elle réduit les opportunités de détection avant que le malware ne soit actif. ...

Selon un article publié par Bleepingcomputer , une nouvelle campagne de cyberattaques utilisant la technique ClickFix a été détectée. Cette méthode de social engineering utilise de faux systèmes de vérification ou des erreurs d’application pour inciter les utilisateurs à exécuter des commandes malveillantes. Historiquement, ces attaques ciblaient principalement les systèmes Windows, en incitant les victimes à exécuter des scripts PowerShell via la commande Exécuter de Windows, entraînant des infections par des logiciels malveillants de type info-stealer et même des ransomwares. ...