Une fausse mise à jour Windows vole les mots de passe et les portefeuilles de cryptomonnaies

Des cybercriminels ont mis à jour le tristement célèbre malware ClickFix, qui se fait désormais passer pour une mise à jour légitime de Windows, incitant ainsi les utilisateurs à coller du code malveillant dans la fenêtre Exécuter. La sophistication de cette attaque réside dans l'utilisation des données de pixels d'un fichier PNG pour déclencher un code malveillant qui dérobe noms d'utilisateur, mots de passe, portefeuilles de cryptomonnaies, informations bancaires et autres données sensibles.

Des chercheurs de Huntress ont récemment découvert une nouvelle variante de ClickFix. Ce logiciel malveillant affiche une fausse fenêtre de navigateur en plein écran, imitant une mise à jour Windows, avec une barre de progression bloquée à 95 % pour une prétendue « mise à jour de sécurité critique ». On le trouve le plus souvent sur de faux sites web pour adultes qui imitent des portails populaires, souvent sous forme de publicités ou de demandes de vérification d'âge. Cliquer sur un tel élément déclenche l'ouverture de la fausse fenêtre de mise à jour.

Les utilisateurs sont ensuite invités à appuyer sur Windows + R, à coller le code malveillant, accordant ainsi à leur insu aux cybercriminels un accès avec des privilèges d'administrateur. La commande lance le programme mshta (Microsoft HTML Application Host) avec une URL malveillante, qui télécharge du code supplémentaire depuis la source hexadécimale. Des scripts PowerShell sont alors exécutés, perturbant les programmes de sécurité tels que Bitdefender et déchiffrant le fichier PNG. Des commandes shell sont ensuite extraites de ce fichier et injectées dans des processus déjà en cours d'exécution.

Bien que le format PNG semble inoffensif, ses pixels contiennent du code malveillant chiffré. Une fois déchiffré, ce code déclenche des attaques de vol d'informations telles que Rhadamanthys ou LummaC2, qui collectent les mots de passe, les identifiants et les données des portefeuilles de cryptomonnaies pour les envoyer à des serveurs distants.

Huntress signale que cette variante se propage depuis début octobre, et que de nombreux domaines hébergent encore la fausse fenêtre de mise à jour. Les pirates informatiques masquent davantage le code avec des lignes aléatoires, voire des citations étranges, y compris celles provenant d'une réunion de l'ONU sur le désarmement.

ClickFix est l'un des logiciels malveillants de vol de données les plus sophistiqués jamais conçus. Les experts conseillent aux utilisateurs de vérifier les URL des domaines, d'éviter les publicités suspectes et de ne jamais saisir de commandes inconnues sur leurs appareils.