ClickFix

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

🔍 Contexte Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage. 🎯 Mécanisme d’infection Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple. ...

🔍 Contexte Analyse technique publiée le 1er mai 2026 par Ireneusz Tarnowski (DFIR & CTI Expert) sur Medium. L’article décrit une campagne active de distribution de malwares multi-étapes observée sur une période prolongée, avec une évolution des techniques au fil du temps. 🎯 Vecteur initial : SEO poisoning et malvertising La campagne repose sur du SEO poisoning et du malvertising via des résultats sponsorisés dans les moteurs de recherche. Les victimes recherchant des outils populaires (“Claude Code”, “NotebookLM download”) sont redirigées vers des pages de phishing hébergées sur des plateformes SaaS légitimes : ...

🔍 Contexte Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique détaillé d’une intrusion active débutée le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-américaine. L’attaque est attribuée avec haute confiance à BlueNoroff, sous-groupe financièrement motivé du Lazarus Group nord-coréen (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto. 🎭 Vecteur initial : ingénierie sociale sophistiquée L’attaquant a usurpé l’identité d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une réunion cinq mois à l’avance. L’invitation Google Meet générée a été modifiée pour substituer le lien légitime par une URL typosquattée Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattés Zoom et Teams ont été identifiés sur la même infrastructure entre fin 2025 et mars 2026. ...

🔍 Contexte Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper. ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte. 🎯 Vecteur d’attaque La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU. ...

🔍 Contexte Publié le 8 avril 2026 par Jamf Threat Labs (auteur : Thijs Xhaflaire), cet article documente une nouvelle variante de la technique ClickFix ciblant macOS, découverte via des détections comportementales de la plateforme Jamf Protect. 🎯 Technique d’attaque Contrairement aux campagnes ClickFix classiques qui incitent l’utilisateur à coller des commandes dans Terminal, cette variante exploite le schéma URL applescript:// pour déclencher directement l’ouverture de Script Editor depuis le navigateur. ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...