ClickFix

🗓️ Contexte Source : Zscaler ThreatLabz via Cyber Security News, publié le 19 juin 2026. L’activité malveillante a été détectée pour la première fois le 14 mai 2026, lors d’un pic inhabituel de trafic lié au groupe SmartApeSG. 🎯 Nature de l’attaque Il s’agit d’une attaque de chaîne d’approvisionnement (supply chain attack) : les attaquants ont compromis le script JavaScript du widget Okendo Reviews, un outil tiers de gestion d’avis clients utilisé par plus de 18 000 marques dans le monde. En ciblant ce widget plutôt que chaque site individuellement, les attaquants ont maximisé leur portée sans avoir à compromettre chaque site séparément. ...

🔍 Contexte Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifié comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, Amérique du Nord et Océanie Secteurs : technologie, médias, services aux entreprises Infrastructure : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisée (Berlin) ⚙️ Chaîne d’infection (entièrement fileless) Social engineering ClickFix : la victime est incitée à copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 évalué en mémoire, effectue : Géofencing CIS : détecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build) Récupération du payload AppleScript via curl pipé directement dans osascript (jamais écrit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exécuté entièrement en mémoire 🦠 Capacités du payload Stage 2 Vol de credentials : fausse boîte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png…) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clé API dédiée 💉 Injection de wallets desktop Après exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...

🔍 Contexte Publié le 17 juin 2026 par Zscaler ThreatLabz (chercheurs Shruti Dixit et Manisha Ramcharan Prajapati), cet article documente une campagne ClickFix observée en mars 2026 utilisant des sites web générés par IA pour distribuer un nouveau RAT bancaire nommé SmartRAT. Trend Micro a également analysé ce malware sous le nom Banana RAT avec un vecteur d’attaque différent. 🎯 Vecteur d’infection Les acteurs malveillants ont enregistré le domaine typosquatté cartaobb[.]com imitant le domaine légitime cartaobrb[.]com[.]br d’une banque brésilienne populaire. La page frauduleuse, vraisemblablement générée par un outil de création de sites web IA, présente : ...

🔍 Contexte Publié le 16 juin 2026 par Sekoia TDR (Jeremy Scion et Quentin Bourgue), cet article est la version publique d’un rapport privé distribué aux clients le 2 juin 2026. Il documente en profondeur le framework ErrTraffic, un outil de distribution de malwares opéré sous modèle Malware-as-a-Service (MaaS). 🧩 Description du framework ErrTraffic ErrTraffic est un framework JavaScript injecté dans des sites WordPress compromis pour afficher des leurres ClickFix (faux BSOD, reCAPTCHA, Cloudflare Turnstile) et distribuer des malwares aux visiteurs. Il intègre un Traffic Distribution System (TDS) avec : ...

🔍 Contexte Le 9 juin 2026, Zscaler ThreatLabz publie une analyse technique approfondie d’une nouvelle famille de malware baptisée MLTBackdoor, identifiée pour la première fois en mai 2026. Ce malware est vraisemblablement utilisé par un acteur lié aux ransomwares pour établir un point d’ancrage et faciliter le mouvement latéral. 🎯 Vecteur d’infection L’infection débute par une chaîne ClickFix hébergée sur une page web à thème automobile. La victime est incitée à copier-coller et exécuter une commande qui : ...

🔍 Contexte Publié le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article présente une analyse technique approfondie d’un écosystème de distribution de malwares à grande échelle, actif depuis au moins décembre 2025 et documenté avec des livraisons malveillantes confirmées dès janvier 2026. 🎭 Mécanisme d’usurpation et de détournement de clics L’opération repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnés dans les résultats Google. Ces sites chargent un script JavaScript hébergé sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS). ...

🔍 Contexte Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI). 🎯 Acteur et mode opératoire DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

📰 Source : Hackread.com — Date de publication : 25 mai 2026 Le site de vente en ligne BasedApparel.com, co-créé par le directeur du FBI Kash Patel et Andrew Ollis, a été compromis par des acteurs inconnus pour distribuer un infostealer ciblant macOS via une technique d’ingénierie sociale connue sous le nom de ClickFix. 🎯 Mécanisme de l’attaque Lors de la visite du site, les utilisateurs étaient redirigés vers une fausse page de vérification imitant Cloudflare (faux CAPTCHA « Verify you are human »). La page affichait un avertissement de trafic inhabituel et demandait à l’utilisateur de : ...