Des cybercriminels ont mis \u00e0 jour le tristement c\u00e9l\u00e8bre malware ClickFix, qui se fait d\u00e9sormais passer pour une mise \u00e0 jour l\u00e9gitime de Windows, incitant ainsi les utilisateurs \u00e0 coller du code malveillant dans la fen\u00eatre Ex\u00e9cuter. La sophistication de cette attaque r\u00e9side dans l'utilisation des donn\u00e9es de pixels d'un fichier PNG pour d\u00e9clencher un code malveillant qui d\u00e9robe noms d'utilisateur, mots de passe, portefeuilles de cryptomonnaies, informations bancaires et autres donn\u00e9es sensibles.
Des chercheurs de Huntress ont r\u00e9cemment d\u00e9couvert une nouvelle variante de ClickFix. Ce logiciel malveillant affiche une fausse fen\u00eatre de navigateur en plein \u00e9cran, imitant une mise \u00e0 jour Windows, avec une barre de progression bloqu\u00e9e \u00e0 95 % pour une pr\u00e9tendue \u00ab\u00a0mise \u00e0 jour de s\u00e9curit\u00e9 critique\u00a0\u00bb. On le trouve le plus souvent sur de faux sites web pour adultes qui imitent des portails populaires, souvent sous forme de publicit\u00e9s ou de demandes de v\u00e9rification d'\u00e2ge. Cliquer sur un tel \u00e9l\u00e9ment d\u00e9clenche l'ouverture de la fausse fen\u00eatre de mise \u00e0 jour.
Les utilisateurs sont ensuite invit\u00e9s \u00e0 appuyer sur Windows + R, \u00e0 coller le code malveillant, accordant ainsi \u00e0 leur insu aux cybercriminels un acc\u00e8s avec des privil\u00e8ges d'administrateur. La commande lance le programme mshta (Microsoft HTML Application Host) avec une URL malveillante, qui t\u00e9l\u00e9charge du code suppl\u00e9mentaire depuis la source hexad\u00e9cimale. Des scripts PowerShell sont alors ex\u00e9cut\u00e9s, perturbant les programmes de s\u00e9curit\u00e9 tels que Bitdefender et d\u00e9chiffrant le fichier PNG. Des commandes shell sont ensuite extraites de ce fichier et inject\u00e9es dans des processus d\u00e9j\u00e0 en cours d'ex\u00e9cution.
Bien que le format PNG semble inoffensif, ses pixels contiennent du code malveillant chiffr\u00e9. Une fois d\u00e9chiffr\u00e9, ce code d\u00e9clenche des attaques de vol d'informations telles que Rhadamanthys ou LummaC2, qui collectent les mots de passe, les identifiants et les donn\u00e9es des portefeuilles de cryptomonnaies pour les envoyer \u00e0 des serveurs distants.
Huntress signale que cette variante se propage depuis d\u00e9but octobre, et que de nombreux domaines h\u00e9bergent encore la fausse fen\u00eatre de mise \u00e0 jour. Les pirates informatiques masquent davantage le code avec des lignes al\u00e9atoires, voire des citations \u00e9tranges, y compris celles provenant d'une r\u00e9union de l'ONU sur le d\u00e9sarmement.
ClickFix est l'un des logiciels malveillants de vol de donn\u00e9es les plus sophistiqu\u00e9s jamais con\u00e7us. Les experts conseillent aux utilisateurs de v\u00e9rifier les URL des domaines, d'\u00e9viter les publicit\u00e9s suspectes et de ne jamais saisir de commandes inconnues sur leurs appareils.<\/p>\n