ClickFix

Source et contexte: ESET Research (WeLiveSecurity) publie une analyse le 28 janv. 2026 d’une campagne d’espionnage multicanale visant principalement des utilisateurs au Pakistan, combinant un spyware Android baptisé GhostChat, une attaque ClickFix sur Windows et une technique d’appairage de comptes WhatsApp. • GhostChat (Android/Spy.GhostChat.A) se présente comme une appli de chat/dating avec des profils féminins « verrouillés » nécessitant des codes d’accès. Ces identifiants et codes sont en réalité hardcodés et servent d’appât d’exclusivité. L’appli n’a jamais été sur Google Play et nécessite l’installation depuis des sources inconnues. Dès l’exécution (même avant connexion), elle réalise de la surveillance furtive et de l’exfiltration (ID de l’appareil, contacts au format .txt, fichiers locaux: images, PDF, documents Office/Open XML) vers un serveur C2. Elle implémente un content observer pour téléverser les nouvelles images, et un scan périodique (toutes les 5 minutes) des documents. Elle utilise des numéros WhatsApp +92 intégrés pour rediriger les victimes vers des conversations opérées par l’attaquant. Google Play Protect bloque les versions connues via l’ADA. ...

Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900. • Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive. ...

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...

Selon Hudson Rock, une nouvelle suite criminelle baptisée ErrTraffic v2, promue sur des forums cybercriminels russophones, industrialise les leurres « ClickFix » afin d’amener les utilisateurs à exécuter eux-mêmes des scripts malveillants via Win+R/PowerShell, contournant ainsi les protections des navigateurs et d’EDR. ⚙️ Points saillants: outil vendu 800 $, taux de conversion jusqu’à 58,8%, usage de « faux glitches » (artefacts visuels/texte corrompu) pour créer l’urgence, ciblage multi-OS (Windows, macOS, Android, Linux) et exclusion CIS (BY, KZ, RU, etc.). Le tableau de bord montre 34 vues, 20 « downloads » et 58,8% de conversion sur une campagne test. ...

Source : Push Security. Dans cette analyse, l’éditeur décrit « ConsentFix », une nouvelle campagne de phishing qui combine un leurre ClickFix dans le navigateur et l’abus du flux d’autorisation OAuth 2.0 via l’app première partie Microsoft Azure CLI pour détourner des consentements et obtenir des jetons d’accès. L’attaque est entièrement « browser-native » : la victime visite un site compromis trouvé via Google Search, passe un faux challenge Cloudflare Turnstile, puis suit des instructions qui ouvrent une authentification Microsoft légitime. Après sélection/connexion, le navigateur est redirigé vers localhost avec une URL contenant un code d’autorisation OAuth. La victime copie/colle cette URL dans la page malveillante, ce qui permet à l’attaquant d’échanger le code et de lier l’Azure CLI de l’attaquant au compte Microsoft de la victime. Résultat : prise de contrôle efficace du compte sans hameçonnage d’identifiants ni passage de MFA, et contournement des méthodes résistantes au phishing (ex. passkeys) lorsque la session est déjà ouverte. ...

Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opère un écosystème malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives. Le rapport met en évidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises à jour logicielles. L’analyse relie également un alias de forum (« Sparja ») à des activités plausiblement associées à GrayBravo. ...

Source: Huntress (huntress.com). Contexte: les chercheurs Ben Folland et Anna Pham publient une analyse technique d’une campagne ClickFix multi-étapes observée depuis octobre 2025, où des leurres « Human Verification » et un faux écran « Windows Update » amènent les victimes à exécuter une commande malveillante, débouchant sur le déploiement d’infostealers (LummaC2, Rhadamanthys). • Chaîne d’exécution en 5 étapes 🧩 Étape 1 (mshta.exe): exécution d’un JScript depuis une URL (2e octet de l’IP en hex), qui lance PowerShell en mémoire. Étape 2 (PowerShell): charge et décrypte un assembly .NET (reflective load) après obfuscation/junk code. Étape 3 (loader .NET stéganographique): extrait une image PNG chiffrée AES depuis les ressources, puis récupère le shellcode caché dans les données de pixels (canal R) via un algorithme personnalisé (XOR 114 avec 255 - red), tout en déchiffrant configs/strings (clé AES 909cdc682e43492e, IV 01fe83e20bbe47f2). Étape 4 (injection): compilation dynamique de C# et injection de processus (VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, etc.) dans explorer.exe. Étape 5 (Donut): le shellcode est packé Donut et charge la charge finale: LummaC2 (dans les cas initiaux) ou Rhadamanthys (pour le leurre Windows Update). • Leurre et techniques clés 🎭🖼️ ...

Source: BleepingComputer (Lawrence Abrams). L’article décrit des campagnes récentes où la vieille commande finger est abusée comme LOLBIN pour livrer et exécuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha. Les attaquants incitent l’utilisateur à lancer une commande Windows qui exécute finger user@hôte et redirige la sortie vers cmd.exe, ce qui permet d’exécuter à distance les instructions renvoyées par un serveur Finger. Des échantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hôtes Finger malveillants. ...

Source: Push Security (billet de blog de Dan Green). Contexte: analyse des attaques ClickFix, une technique d’ingénierie sociale qui pousse les victimes à copier-coller et exécuter du code malveillant localement. • Évolution des leurres: des pages imitant des services légitimes (ex. une page « Cloudflare ») deviennent très crédibles avec vidéo intégrée, compte à rebours et compteur d’utilisateurs « vérifiés », augmentant la pression sociale et le taux de succès. Le code est copié dans le sandbox du navigateur, ce qui échappe aux outils de sécurité traditionnels tant que l’exécution n’a pas lieu sur l’endpoint. ...

Source et contexte: Sekoia.io publie une analyse TDR d’une campagne active depuis au moins avril 2025, identifiée comme « I Paid Twice », visant les établissements hôteliers et leurs clients via des compromissions de comptes Booking.com et des leurres de paiement. 🔎 Vecteur initial et infrastructure: Des emails malveillants provenant d’adresses compromises (parfois usurpant Booking.com) redirigent vers une chaîne de pages et scripts JavaScript menant à la tactique de social engineering « ClickFix ». Un service de redirection type TDS masque l’infrastructure et résiste aux takedowns. Les pages imitent l’extranet Booking (motifs d’URL admin/extranet) et poussent l’utilisateur à copier/exec un one‑liner PowerShell. ...