Présentation de Clickfix

Clickfix est une technique d'attaque récente qui consiste à afficher un CAPTCHA sur des sites Web contrôlés par les attaquants. Le visiteur est invité à copier un texte et à le coller dans un terminal, ce qui déclenche des actions malveillantes, telles que l'installation de logiciels malveillants ou l'exfiltration de données sensibles.

Fonctionnement de Clickfix

Les attaques Clickfix commencent par l'affichage d'un CAPTCHA sur un site Web compromis. Le visiteur est invité à copier un texte qui contient des scripts malveillants. Une fois que le script est entré, il peut installer des logiciels malveillants, tels que des scripts Visual Basic, et d'autres logiciels malveillants. Le premier logiciel malveillant à s'exécuter est généralement un programme de reconnaissance qui collecte des informations sur l'appareil infecté.

Utilisation de Clickfix par les hackers russes

Le groupe de hackers Sandworm, rattaché au GRU, le service de renseignement militaire russe, utilise désormais la technique Clickfix pour compromettre des appareils appartenant à des organisations sensibles en Ukraine. Les autorités ukrainiennes ont découvert 10 sites Web compromis qui affichaient une commande PowerShell faisant partie d'un CAPTCHA factice. Une fois que l'utilisateur a entré le script, il pouvait installer des logiciels malveillants, tels que GHETTOVIBE et SCOUTCURL, qui sont utilisés pour collecter des informations sur l'appareil infecté.

Implications et limites

Les attaques Clickfix soulignent l'importance de la vigilance en ligne et de la nécessité de mettre en place des mesures de sécurité robustes pour protéger les appareils et les données sensibles. Les utilisateurs doivent être conscients des risques liés aux CAPTCHA et aux scripts malveillants, et prendre des mesures pour se protéger, telles que l'utilisation d'un logiciel anti-virus et la mise à jour régulière de leurs systèmes d'exploitation.

PowerShell -Command "& { Start-Process -FilePath 'C:\\Windows\\System32\\cmd.exe' -ArgumentList '/c', 'echo ^&^& GHETTOVIBE > C:\\Users\\Public\\Startup\\GHETTOVIBE.vbs' }"