ClickFix : Une Nouvelle Menace Exploitant les Pages de Google Meet et Zoom

GBHackers met en lumière une nouvelle tactique de cyberattaque appelée "ClickFix". Cette méthode innovante exploite des pages factices de Google Meet et Zoom pour diffuser des logiciels malveillants sophistiqués, représentant une évolution significative dans les stratégies d'ingénierie sociale utilisées par les cybercriminels.

La stratégie ClickFix se distingue par l'affichage de messages d'erreur trompeurs dans les navigateurs web, incitant les utilisateurs à exécuter des commandes malveillantes. Ces commandes, souvent livrées via des scripts PowerShell, infectent finalement les systèmes des utilisateurs avec des logiciels malveillants. Cette approche est particulièrement préoccupante car elle imite des plateformes de visioconférence légitimes, largement utilisées pour la communication professionnelle et personnelle.

Le processus d'infection de ClickFix est alarmant de simplicité. Les utilisateurs visitant ces pages de visioconférence factices sont guidés à travers une série d'étapes apparemment anodines, telles que l'exécution de commandes malveillantes copiées depuis la page. Cette méthode exploite l'apparence de légitimité en exécutant la commande sous Explorer.exe, réduisant ainsi les chances de détection par les logiciels de sécurité.

ClickFix peut opérer sous plusieurs scénarios. Pour les utilisateurs de macOS, un fichier .dmg est téléchargé pour exécuter directement le logiciel malveillant. Pour les systèmes Windows, deux chaînes d'infection principales sont utilisées : l'une via une commande Mshta malveillante, l'autre via PowerShell. Chaque scénario exploite la confiance des utilisateurs dans des interfaces familières comme Google Meet pour initier le processus de livraison de logiciels malveillants.

La détection de ClickFix nécessite une vigilance accrue et une compréhension des schémas comportementaux typiques associés à ces attaques. Les indicateurs clés incluent la surveillance des processus pour détecter des relations parent-enfant inhabituelles et l'activité réseau suspecte. Les organisations sont conseillées d'employer des systèmes de détection et de réponse aux points d'extrémité (EDR) capables d'identifier ces modèles.

L'émergence de ClickFix met en évidence la nature évolutive des menaces cybernétiques et la sophistication des tactiques d'ingénierie sociale. Alors que les acteurs malveillants continuent d'exploiter des plateformes de confiance comme Google Meet et Zoom, les utilisateurs et les organisations doivent rester vigilants. Comprendre la mécanique de ces attaques et mettre en œuvre des stratégies de détection complètes peut atténuer les risques posés par ClickFix et des menaces similaires.

Source : GBHackers