Microsoft a fait la lumière sur une campagne de phishing en cours qui a ciblé le secteur hôtelier en usurpant l’identité d’agence de voyage en ligne Booking.com en utilisant une technique d’ingénierie sociale de plus en plus populaire appelée ClickFix pour offrir des logiciels malveillants de vol d’identification.
L’activité, a déclaré le géant de la technologie, a commencé en décembre 2024 et opère dans l’objectif final de mener une fraude financière et un vol. C’est suivre la campagne sous le surnom Storm-1865.
“Cette attaque de phishing cible spécifiquement des individus dans des organisations hôtelières en Amérique du Nord, en Océanie, en Asie du Sud et du Sud-Est et en Europe du Nord, du Sud, de l’Est et de l’Ouest, qui sont les plus susceptibles de travailler avec Booking.com, envoyant de faux courriels prétendant provenir de l’agence”, a déclaré Microsoft dit Dans un rapport partagé avec le Hacker News.
La technique ClickFix s’est répandue ces derniers mois, car elle incite les utilisateurs à exécuter des logiciels malveillants sous le couvert de fixer une erreur supposée (c’est-à-dire, inexistante) en copiant, en collant et en lançant des instructions trompeuses qui activent le processus d’infection. Il a été détecté pour la première fois dans la nature en octobre 2023.
La séquence d’attaque commence avec Storm-1865 en envoyant un e-mail malveillant à une personne ciblée sur une critique négative laissée par un prétendu invité sur booking.com et leur demandant leurs «commentaires». Le message intègre également un lien, ou une pièce jointe PDF en contenant une qui dirige apparemment les destinataires vers le site de réservation.
Cependant, en réalité, cliquer dessus conduit la victime à une fausse page de vérification CAPTCHA superposée sur un “fond subtilement visible conçu pour imiter une page Booking.com légitime”. Ce faisant, l’idée est de donner un faux sentiment de sécurité et d’augmenter la probabilité d’un compromis réussi.
“Le faux captcha est l’endroit où la page Web utilise la technique d’ingénierie sociale ClickFix pour télécharger la charge utile malveillante”, a déclaré Microsoft. “Cette technique demande à l’utilisateur d’utiliser un raccourci clavier pour ouvrir une fenêtre d’exécution Windows, puis coller et lancer une commande que la page Web ajoute au presse-papiers.”
La commande, en un mot, utilise le binaire MSHTA.exe légitime pour supprimer la charge utile à la prochaine étape, qui comprend diverses familles de logiciels malveillants de base comme Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot et Netsupport Rat.
Redmond a déclaré qu’il avait précédemment observé Storm-1865 ciblant les acheteurs à l’aide de plateformes de commerce électronique avec des messages de phishing conduisant à des pages Web de paiement frauduleux. L’incorporation de la technique Clickfix illustre donc une évolution tactique conçue pour glisser les mesures de sécurité conventionnelles antérieures contre le phishing et les logiciels malveillants.
“L’acteur de menace que Microsoft suit en tant que Storm-1865 résume un groupe d’activités menant des campagnes de phishing, conduisant à un vol de données de paiement et à des charges frauduleuses”, a-t-il ajouté.
“Ces campagnes sont en cours avec un volume accru depuis au moins au début de 2023 et impliquent des messages envoyés via des plateformes de fournisseurs, telles que les agences de voyage en ligne et les plateformes de commerce électronique, et les services de messagerie, tels que Gmail ou ICloud Mail.”
Storm-1865 ne représente qu’une des nombreuses campagnes qui ont adopté ClickFix comme vecteur de distribution de logiciels malveillants. Telle est l’efficacité de cette technique selon laquelle même les groupes russes et iraniens de l’État-nation comme Apt28 et Muddywater l’ont adopté pour attirer leurs victimes.
“Notamment, la méthode capitalise sur le comportement humain: en présentant une« solution »plausible à un problème perçu, les attaquants déplacent le fardeau de l’exécution sur l’utilisateur, évitant efficacement de nombreuses défenses automatisées” dit Dans un rapport indépendant publié aujourd’hui.
Une telle campagne documentée par la Singapourien Cybersecurity Company consiste à utiliser ClickFix pour supprimer un téléchargeur nommé Smokesaber, qui sert ensuite de conduit pour Lumma Stealer. D’autres campagnes ont exploité le malvertising, l’empoisonnement du référencement, les problèmes de github et les forums de spam ou les sites de médias sociaux avec des liens vers des pages ClickFix.
“La technique ClickFix marque une évolution des stratégies d’ingénierie sociale contradictoires, tirant parti de la confiance des utilisateurs et des fonctionnalités du navigateur pour le déploiement de logiciels malveillants”, a déclaré Group-IB. “L’adoption rapide de cette méthode par les cybercriminels et les groupes APT souligne son efficacité et sa faible barrière technique.”
Certaines des autres campagnes ClickFix qui ont été documentées sont répertoriées ci-dessous –
Les divers mécanismes d’infection de Lummma Stealer sont encore illustrés par la découverte d’une autre campagne qui utilise des référentiels de faux github avec un contenu d’intelligence artificielle (IA) pour livrer le voleur via un chargeur appelé Smartloader.
“Ces référentiels malveillants sont déguisés en outils non malveillants, y compris des tricheurs de jeu, des logiciels fissurés et des services publics de crypto-monnaie”, Trend Micro dit Dans une analyse publiée plus tôt cette semaine. “La campagne incite les victimes à des promesses de fonctionnalités gratuites ou illicites non autorisées, les incitant à télécharger des fichiers ZIP (par exemple, release.zip, logiciel.zip).”
L’opération sert à souligner comment les acteurs de la menace abusent de la confiance associée à des plates-formes populaires comme Github pour la propagation de logiciels malveillants.
Les résultats viennent alors que Trustwave a détaillé une campagne de phishing par e-mail qui utilise des leurres liés à la facture pour distribuer une version mise à jour d’un autre voleur malveillant appelé Strelastealer, qui est évalué pour être exploité par un acteur de menace unique surnommé surnommé Hive0145.
“Les échantillons de Strelastealers incluent l’obscurcissement multi-couches personnalisé et l’aplatissement de flux de code pour compliquer son analyse”, la société dit. “Il a été signalé que l’acteur de menace a potentiellement développé un crypter spécialisé appelé« chargeur stellaire », spécifiquement, à utiliser avec le strelalaster.”





