Des acteurs malveillants ont été observés en train d’exploiter la tactique d’ingénierie sociale trompeuse connue sous le nom de ClickFix pour déployer une porte dérobée polyvalente nommée CORNFLAKE.V3.

Mandiant, propriété de Google, a décrit l’activité, qu’elle suit comme UNC5518, comme faisant partie d’un système d’accès en tant que service qui utilise de fausses pages CAPTCHA comme leurres pour inciter les utilisateurs à fournir un accès initial à leurs systèmes, qui est ensuite monétisé par d’autres groupes de menaces.

« Le vecteur d’infection initial, baptisé ClickFix, consiste à inciter les utilisateurs de sites Web compromis à copier un script PowerShell malveillant et à l’exécuter via la boîte de dialogue Exécuter de Windows », a déclaré Google dans un rapport publié aujourd’hui.

L’accès fourni par UNC5518 est évalué comme étant exploité par au moins deux groupes de pirates différents, UNC5774 et UNC4108, pour lancer un processus d’infection en plusieurs étapes et déposer des charges utiles supplémentaires.

• UNC5774, un autre groupe motivé financièrement qui fournit CORNFLAKE comme moyen de déployer diverses charges utiles ultérieures
• UNC4108, un acteur malveillant aux motivations inconnues qui utilise PowerShell pour déployer des outils tels que VOLTMARKER et NetSupport RAT

La chaîne d’attaque commence probablement lorsque la victime atterrit sur une fausse page de vérification CAPTCHA après avoir interagi avec des résultats de recherche qui utilisent l’empoisonnement de l’optimisation des moteurs de recherche (SEO) ou des publicités malveillantes.

L’utilisateur est ensuite amené à exécuter une commande PowerShell malveillante en ouvrant la boîte de dialogue Exécuter de Windows, qui exécute ensuite la charge utile du dropper de l’étape suivante depuis un serveur distant. Le script nouvellement téléchargé vérifie s’il s’exécute dans un environnement virtualisé et lance finalement CORNFLAKE.V3.

Présent dans les versions JavaScript et PHP, CORNFLAKE.V3 est une porte dérobée qui permet l’exécution de charges utiles via HTTP, notamment des exécutables, des bibliothèques de liens dynamiques (DLL), des fichiers JavaScript, des scripts batch et des commandes PowerShell. Elle peut également collecter des informations système de base et les transmettre à un serveur externe. Le trafic est acheminé via des tunnels Cloudflare afin d’éviter toute détection.

« CORNFLAKE.V3 est une version mise à jour de CORNFLAKE.V2, dont elle partage une part importante du code source », a déclaré Marco Galli, chercheur chez Mandiant. « Contrairement à la version 2, qui fonctionnait uniquement comme un téléchargeur, la version 3 offre la persistance de l’hôte via une clé d’exécution du registre et prend en charge des types de charges utiles supplémentaires. »

Les deux générations sont nettement différentes de leur ancêtre, un téléchargeur basé sur C qui utilise des sockets TCP pour les communications de commande et de contrôle (C2) et n’a que la capacité d’exécuter des charges utiles DLL.

La persistance sur l’hôte est assurée par des modifications du registre Windows. Au moins trois charges utiles différentes sont fournies via CORNFLAKE.V3. Celles-ci comprennent un utilitaire de reconnaissance Active Directory, un script de collecte d’identifiants via Kerberoasting et une autre porte dérobée appelée WINDYTWIST.SEA, une version C de WINDYTWIST qui prend en charge le relais du trafic TCP, la fourniture d’un shell inversé, l’exécution de commandes et sa propre suppression.

Certaines versions de WINDYTWIST.SEA ont également été observées tentant de se déplacer latéralement dans le réseau de la machine infectée.

« Pour limiter l’exécution de logiciels malveillants via ClickFix, les entreprises doivent désactiver la boîte de dialogue Exécuter de Windows autant que possible », a déclaré Galli. « Des exercices de simulation réguliers sont essentiels pour contrer cette pratique et d’autres tactiques d’ingénierie sociale. De plus, des systèmes de journalisation et de surveillance robustes sont essentiels pour détecter l’exécution de charges utiles ultérieures, telles que celles associées à CORNFLAKE.V3. »

Une infection USB fait tomber XMRig Miner#

Cette révélation intervient alors que la société de renseignement sur les menaces a détaillé une campagne en cours qui utilise des clés USB pour infecter d’autres hôtes et déployer des mineurs de crypto-monnaie depuis septembre 2024.

« Cela démontre l’efficacité continue de l’accès initial via des clés USB infectées », a déclaré Mandiant . « Son faible coût et sa capacité à contourner la sécurité du réseau font de cette technique une option intéressante pour les attaquants. »

La chaîne d’attaque démarre lorsqu’une victime est amenée à exécuter un raccourci Windows (LNK) sur la clé USB compromise. Le fichier LNK entraîne l’exécution d’un script Visual Basic, également situé dans le même dossier. Ce script lance un script batch pour initier l’infection.

• DIRTYBULK , un lanceur de DLL C++ pour initier l’exécution d’autres composants malveillants, tels que CUTFAIL
• CUTFAIL , un dropper de malware C++ responsable du décryptage et de l’installation de malware sur un système, tels que HIGHREPS et PUMPBENCH, ainsi que des bibliothèques tierces comme OpenSSL, libcurl et WinPthreadGC
• HIGHREPS , un téléchargeur qui récupère des fichiers supplémentaires pour assurer la persistance de PUMPBENCH
• PUMPBENCH , une porte dérobée C++ qui facilite la reconnaissance, fournit un accès à distance en communiquant avec un serveur de base de données PostgreSQL et télécharge XMRig
• XMRig , un logiciel open source pour l’extraction de crypto-monnaies telles que Monero, Dero et Ravencoin

« PUMPBENCH se propage en infectant les clés USB », explique Mandiant. « Il analyse le système à la recherche de lecteurs disponibles, puis crée un fichier batch, un fichier VBScript, un fichier de raccourci et un fichier DAT. »