{"id":1577762,"date":"2025-03-13T15:16:34","date_gmt":"2025-03-13T17:16:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-la-campagne-de-phishing-clickfix-ciblant-le-secteur-de-lhotellerie-via-une-fausse-reservation-com-commels\/"},"modified":"2025-03-13T15:16:39","modified_gmt":"2025-03-13T17:16:39","slug":"microsoft-met-en-garde-contre-la-campagne-de-phishing-clickfix-ciblant-le-secteur-de-lhotellerie-via-une-fausse-reservation-com-commels","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-la-campagne-de-phishing-clickfix-ciblant-le-secteur-de-lhotellerie-via-une-fausse-reservation-com-commels\/","title":{"rendered":"Microsoft met en garde contre la campagne de phishing Clickfix ciblant le secteur de l&#8217;h\u00f4tellerie via une fausse r\u00e9servation[.]COM COMMELS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Microsoft-met-en-garde-contre-la-campagne-de-phishing-Clickfix.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Microsoft a fait la lumi\u00e8re sur une campagne de phishing en cours qui a cibl\u00e9 le secteur h\u00f4telier en usurpant l&#8217;identit\u00e9 d&#8217;agence de voyage en ligne Booking.com en utilisant une technique d&#8217;ing\u00e9nierie sociale de plus en plus populaire appel\u00e9e ClickFix pour offrir des logiciels malveillants de vol d&#8217;identification.<\/p>\n<p>L&#8217;activit\u00e9, a d\u00e9clar\u00e9 le g\u00e9ant de la technologie, a commenc\u00e9 en d\u00e9cembre 2024 et op\u00e8re dans l&#8217;objectif final de mener une fraude financi\u00e8re et un vol. C&#8217;est suivre la campagne sous le surnom <strong>Storm-1865<\/strong>.<\/p>\n<p>&#8220;Cette attaque de phishing cible sp\u00e9cifiquement des individus dans des organisations h\u00f4teli\u00e8res en Am\u00e9rique du Nord, en Oc\u00e9anie, en Asie du Sud et du Sud-Est et en Europe du Nord, du Sud, de l&#8217;Est et de l&#8217;Ouest, qui sont les plus susceptibles de travailler avec Booking.com, envoyant de faux courriels pr\u00e9tendant provenir de l&#8217;agence&#8221;, a d\u00e9clar\u00e9 Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/13\/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>La technique ClickFix s&#8217;est r\u00e9pandue ces derniers mois, car elle incite les utilisateurs \u00e0 ex\u00e9cuter des logiciels malveillants sous le couvert de fixer une erreur suppos\u00e9e (c&#8217;est-\u00e0-dire, inexistante) en copiant, en collant et en lan\u00e7ant des instructions trompeuses qui activent le processus d&#8217;infection. Il a \u00e9t\u00e9 d\u00e9tect\u00e9 pour la premi\u00e8re fois dans la nature en octobre 2023.<\/p>\n<p>La s\u00e9quence d&#8217;attaque commence avec Storm-1865 en envoyant un e-mail malveillant \u00e0 une personne cibl\u00e9e sur une critique n\u00e9gative laiss\u00e9e par un pr\u00e9tendu invit\u00e9 sur booking.com et leur demandant leurs \u00abcommentaires\u00bb. Le message int\u00e8gre \u00e9galement un lien, ou une pi\u00e8ce jointe PDF en contenant une qui dirige apparemment les destinataires vers le site de r\u00e9servation.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cependant, en r\u00e9alit\u00e9, cliquer dessus conduit la victime \u00e0 une fausse page de v\u00e9rification CAPTCHA superpos\u00e9e sur un &#8220;fond subtilement visible con\u00e7u pour imiter une page Booking.com l\u00e9gitime&#8221;. Ce faisant, l&#8217;id\u00e9e est de donner un faux sentiment de s\u00e9curit\u00e9 et d&#8217;augmenter la probabilit\u00e9 d&#8217;un compromis r\u00e9ussi.<\/p>\n<p>&#8220;Le faux captcha est l&#8217;endroit o\u00f9 la page Web utilise la technique d&#8217;ing\u00e9nierie sociale ClickFix pour t\u00e9l\u00e9charger la charge utile malveillante&#8221;, a d\u00e9clar\u00e9 Microsoft. &#8220;Cette technique demande \u00e0 l&#8217;utilisateur d&#8217;utiliser un raccourci clavier pour ouvrir une fen\u00eatre d&#8217;ex\u00e9cution Windows, puis coller et lancer une commande que la page Web ajoute au presse-papiers.&#8221;<\/p>\n<p>La commande, en un mot, utilise le binaire MSHTA.exe l\u00e9gitime pour supprimer la charge utile \u00e0 la prochaine \u00e9tape, qui comprend diverses familles de logiciels malveillants de base comme Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot et Netsupport Rat.<\/p>\n<p>Redmond a d\u00e9clar\u00e9 qu&#8217;il avait pr\u00e9c\u00e9demment observ\u00e9 Storm-1865 ciblant les acheteurs \u00e0 l&#8217;aide de plateformes de commerce \u00e9lectronique avec des messages de phishing conduisant \u00e0 des pages Web de paiement frauduleux. L&#8217;incorporation de la technique Clickfix illustre donc une \u00e9volution tactique con\u00e7ue pour glisser les mesures de s\u00e9curit\u00e9 conventionnelles ant\u00e9rieures contre le phishing et les logiciels malveillants.<\/p>\n<p>&#8220;L&#8217;acteur de menace que Microsoft suit en tant que Storm-1865 r\u00e9sume un groupe d&#8217;activit\u00e9s menant des campagnes de phishing, conduisant \u00e0 un vol de donn\u00e9es de paiement et \u00e0 des charges frauduleuses&#8221;, a-t-il ajout\u00e9.<\/p>\n<p>&#8220;Ces campagnes sont en cours avec un volume accru depuis au moins au d\u00e9but de 2023 et impliquent des messages envoy\u00e9s via des plateformes de fournisseurs, telles que les agences de voyage en ligne et les plateformes de commerce \u00e9lectronique, et les services de messagerie, tels que Gmail ou ICloud Mail.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741886192_194_Microsoft-met-en-garde-contre-la-campagne-de-phishing-Clickfix.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741886192_194_Microsoft-met-en-garde-contre-la-campagne-de-phishing-Clickfix.png\" alt=\"\" border=\"0\" data-original-height=\"899\" data-original-width=\"1680\"\/><\/a><\/div>\n<p>Storm-1865 ne repr\u00e9sente qu&#8217;une des nombreuses campagnes qui ont adopt\u00e9 ClickFix comme vecteur de distribution de logiciels malveillants. Telle est l&#8217;efficacit\u00e9 de cette technique selon laquelle m\u00eame les groupes russes et iraniens de l&#8217;\u00c9tat-nation comme Apt28 et Muddywater l&#8217;ont adopt\u00e9 pour attirer leurs victimes.<\/p>\n<p>&#8220;Notamment, la m\u00e9thode capitalise sur le comportement humain: en pr\u00e9sentant une\u00ab solution \u00bbplausible \u00e0 un probl\u00e8me per\u00e7u, les attaquants d\u00e9placent le fardeau de l&#8217;ex\u00e9cution sur l&#8217;utilisateur, \u00e9vitant efficacement de nombreuses d\u00e9fenses automatis\u00e9es&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/clickfix-the-social-engineering-technique-hackers-use-to-manipulate-victims\/\" target=\"_blank\">dit<\/a> Dans un rapport ind\u00e9pendant publi\u00e9 aujourd&#8217;hui.<\/p>\n<p>Une telle campagne document\u00e9e par la Singapourien Cybersecurity Company consiste \u00e0 utiliser ClickFix pour supprimer un t\u00e9l\u00e9chargeur nomm\u00e9 Smokesaber, qui sert ensuite de conduit pour Lumma Stealer. D&#8217;autres campagnes ont exploit\u00e9 le malvertising, l&#8217;empoisonnement du r\u00e9f\u00e9rencement, les probl\u00e8mes de github et les forums de spam ou les sites de m\u00e9dias sociaux avec des liens vers des pages ClickFix.<\/p>\n<p>&#8220;La technique ClickFix marque une \u00e9volution des strat\u00e9gies d&#8217;ing\u00e9nierie sociale contradictoires, tirant parti de la confiance des utilisateurs et des fonctionnalit\u00e9s du navigateur pour le d\u00e9ploiement de logiciels malveillants&#8221;, a d\u00e9clar\u00e9 Group-IB. &#8220;L&#8217;adoption rapide de cette m\u00e9thode par les cybercriminels et les groupes APT souligne son efficacit\u00e9 et sa faible barri\u00e8re technique.&#8221;<\/p>\n<p>Certaines des autres campagnes ClickFix qui ont \u00e9t\u00e9 document\u00e9es sont r\u00e9pertori\u00e9es ci-dessous &#8211;<\/p>\n<p>Les divers m\u00e9canismes d&#8217;infection de Lummma Stealer sont encore illustr\u00e9s par la d\u00e9couverte d&#8217;une autre campagne qui utilise des r\u00e9f\u00e9rentiels de faux github avec un contenu d&#8217;intelligence artificielle (IA) pour livrer le voleur via un chargeur appel\u00e9 Smartloader.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ces r\u00e9f\u00e9rentiels malveillants sont d\u00e9guis\u00e9s en outils non malveillants, y compris des tricheurs de jeu, des logiciels fissur\u00e9s et des services publics de crypto-monnaie&#8221;, Trend Micro <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/ai-assisted-fake-github-repositories.html\" target=\"_blank\">dit<\/a> Dans une analyse publi\u00e9e plus t\u00f4t cette semaine. &#8220;La campagne incite les victimes \u00e0 des promesses de fonctionnalit\u00e9s gratuites ou illicites non autoris\u00e9es, les incitant \u00e0 t\u00e9l\u00e9charger des fichiers ZIP (par exemple, release.zip, logiciel.zip).&#8221;<\/p>\n<p>L&#8217;op\u00e9ration sert \u00e0 souligner comment les acteurs de la menace abusent de la confiance associ\u00e9e \u00e0 des plates-formes populaires comme Github pour la propagation de logiciels malveillants.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741886194_987_Microsoft-met-en-garde-contre-la-campagne-de-phishing-Clickfix.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741886194_987_Microsoft-met-en-garde-contre-la-campagne-de-phishing-Clickfix.png\" alt=\"\" border=\"0\" data-original-height=\"1469\" data-original-width=\"3363\"\/><\/a><\/div>\n<p>Les r\u00e9sultats viennent alors que Trustwave a d\u00e9taill\u00e9 une campagne de phishing par e-mail qui utilise des leurres li\u00e9s \u00e0 la facture pour distribuer une version mise \u00e0 jour d&#8217;un autre voleur malveillant appel\u00e9 Strelastealer, qui est \u00e9valu\u00e9 pour \u00eatre exploit\u00e9 par un acteur de menace unique surnomm\u00e9 surnomm\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/securityintelligence.com\/x-force\/strela-stealer-todays-invoice-tomorrows-phish\/\" target=\"_blank\">Hive0145<\/a>.<\/p>\n<p>&#8220;Les \u00e9chantillons de Strelastealers incluent l&#8217;obscurcissement multi-couches personnalis\u00e9 et l&#8217;aplatissement de flux de code pour compliquer son analyse&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/a-deep-dive-into-strela-stealer-and-how-it-targets-european-countries\/\" target=\"_blank\">dit<\/a>. &#8220;Il a \u00e9t\u00e9 signal\u00e9 que l&#8217;acteur de menace a potentiellement d\u00e9velopp\u00e9 un crypter sp\u00e9cialis\u00e9 appel\u00e9\u00ab chargeur stellaire \u00bb, sp\u00e9cifiquement, \u00e0 utiliser avec le strelalaster.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/microsoft-warns-of-clickfix-phishing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft a fait la lumi\u00e8re sur une campagne de phishing en cours qui a cibl\u00e9 le secteur h\u00f4telier en usurpant l&#8217;identit\u00e9 d&#8217;agence de voyage en ligne Booking.com en utilisant une technique d&#8217;ing\u00e9nierie sociale de plus en plus populaire appel\u00e9e ClickFix pour offrir des logiciels malveillants de vol d&#8217;identification. L&#8217;activit\u00e9, a d\u00e9clar\u00e9 le g\u00e9ant de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1577763,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,2930,4175,258389,286532,4168,841,79002,274264,4161,274263,6124,7367,525,128341,274267,4955,8362,4160,8153,286531,3205,238617,246491,4172,79016,196,4166,4164],"class_list":["post-1577762","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-campagne","tag-ciblant","tag-clickfix","tag-commels","tag-comment-pirater","tag-contre","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-fausse","tag-garde","tag-lhotellerie","tag-malware-ransomware","tag-met","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-phishing","tag-reservation-com","tag-secteur","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1577762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1577762"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1577762\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1577763"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1577762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1577762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1577762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}