Une version actualisée du logiciel malveillant "ClickFix" se déguise en mise à jour Windows et utilise des données de pixels PNG pour déployer des voleurs d'informations

Les cybercriminels ont mis à jour le tristement célèbre malware ClickFix pour le faire passer pour une mise à jour Windows légitime, en incitant les utilisateurs à coller une commande malveillante dans la fenêtre d'exécution. Ce qui est incroyablement intelligent, c'est qu'il utilise les données des pixels d'un PNG pour déployer des voleurs d'informations qui s'emparent de vos noms d'utilisateur, mots de passe, portefeuilles de crypto-monnaie, coordonnées bancaires, informations personnelles et bien plus encore.

Les chercheurs en cybersécurité Huntress ont récemment dévoilé la nouvelle variante de ClickFix. Le logiciel malveillant déploie une page de navigateur en plein écran qui imite une mise à jour de Microsoft Windows en plein écran, avec une barre de progression et un état d'achèvement de 95 % pour une "mise à jour de sécurité critique"

Ce logiciel malveillant se trouve principalement sur de faux sites web pour adultes qui imitent des sites populaires, souvent déguisés en publicités ou en invites de vérification de l'âge. Lorsque vous cliquez sur une publicité, une vidéo ou une invite de vérification de l'âge, vous tombez sur le faux écran de démarrage de la mise à jour de Windows.

Le logiciel malveillant demande ensuite aux utilisateurs d'appuyer sur la touche Windows + R pour ouvrir Exécuter, coller le code malveillant copié au préalable et déléguer l'accès administratif aux cybercriminels.

Une fois la commande activée, elle exécute le programme mshta (Microsoft HTML Application Host) à l'aide d'une URL qui sert également de vecteur d'attaque. L'outil préinstallé récupère ensuite une charge utile à partir d'une URL codée en hexadécimal et exécute un code PowerShell indésirable pour empêcher des outils tels que Bitdefender d'agir ou de détecter une activité malveillante. Il déploie ensuite un code qui décrypte un fichier PNG, extrait des instructions shell et les injecte dans des processus déjà en cours d'exécution sur la plateforme cible.

L'image PNG, bien qu'elle semble inoffensive, contient un code malveillant intégré dans ses données de pixels, que l'assemblage .NET décrypte. Après plusieurs commandes supplémentaires, il déploie des infostealers tels que Rhadamanthys ou LummaC2, qui récupèrent les données et les frappes au clavier pour trouver des mots de passe, des informations d'identification et des portefeuilles cryptographiques stockés numériquement, puis les envoient à des serveurs étrangers.

Huntress a déclaré que cette variante particulière de ClickFix circule sur Internet depuis le début du mois d'octobre, et que de nombreux sites Web et domaines hébergent toujours la fausse invite de mise à jour, alors même qu'elle est déployée avec différents niveaux de sophistication sur ces sites Web.

Les pirates cachent le code malveillant dans des images d'apparence innocente ou ajoutent des tonnes de lignes inutiles, confondant même certains experts en cybersécurité à la recherche de code malveillant par le biais de l'obscurcissement. Huntress a déclaré avoir trouvé des choses étranges dans le code, comme une citation tirée d'une ancienne réunion des Nations unies : "En ce qui concerne l'étape III, nous recommandons vivement la destruction complète de toutes les armes, car une paix durable ne peut être assurée autrement

Ce logiciel malveillant ClickFix Windows Update est, de loin, l'une des formes les plus ingénieuses et les plus sinistres de vol d'informations observées à ce jour. Il est conseillé de vérifier les URL des domaines et d'éviter de cliquer sur des publicités ou d'exécuter des commandes directement sur leurs appareils, en particulier lorsqu'ils peuvent par inadvertance ouvrir la voie à des logiciels malveillants sophistiqués tels que ClickFix.