https://cyberveille.ch/tags/information-stealer-non-nomm%C3%A9/ Recent content in Information Stealer (Non Nommé) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-campagne-de-phishing-clickfix-utilisant-un-faux-installateur-claude-ai-pour-deployer-un-infostealer/ Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-campagne-de-phishing-clickfix-utilisant-un-faux-installateur-claude-ai-pour-deployer-un-infostealer/ <h2 id="-contexte">🔍 Contexte</h2> <p>Rapid7 a publié le 16 avril 2026 une analyse technique d&rsquo;une campagne de phishing de type <strong>ClickFix</strong> détectée le 9 avril 2026 auprès de clients situés dans l&rsquo;<strong>Union Européenne et aux États-Unis</strong>. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte.</p> <h2 id="-vecteur-dattaque">🎯 Vecteur d&rsquo;attaque</h2> <p>La campagne se distingue par l&rsquo;usurpation de l&rsquo;identité de <strong>Claude</strong>, l&rsquo;assistant IA d&rsquo;Anthropic. Un faux installateur <strong>MSIX</strong> (<code>claude.msixbundle</code>) était servi depuis le domaine <code>download-version[.]1-5-8[.]com</code>. L&rsquo;exécution initiale passait par <strong>mshta</strong> lancé via l&rsquo;utilitaire Windows Run, enregistré dans la clé de registre <strong>RunMRU</strong>.</p>