{"id":1586708,"date":"2025-03-19T19:57:35","date_gmt":"2025-03-19T21:57:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/clearfake-infecte-9-300-sites-utilise-un-faux-recaptcha-et-des-tourniquets-pour-repandre-les-voleurs-dinformations\/"},"modified":"2025-03-19T19:57:40","modified_gmt":"2025-03-19T21:57:40","slug":"clearfake-infecte-9-300-sites-utilise-un-faux-recaptcha-et-des-tourniquets-pour-repandre-les-voleurs-dinformations","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/clearfake-infecte-9-300-sites-utilise-un-faux-recaptcha-et-des-tourniquets-pour-repandre-les-voleurs-dinformations\/","title":{"rendered":"Clearfake infecte 9 300 sites, utilise un faux recaptcha et des tourniquets pour r\u00e9pandre les voleurs d&#8217;informations"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 cloud \/ s\u00e9curit\u00e9 Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Clearfake-infecte-9-300-sites-utilise-un-faux-recaptcha-et.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace derri\u00e8re le <strong>Clearfake<\/strong> La campagne utilise les fausses v\u00e9rifications de Turnique RecaptCha ou Cloudflare comme leur leur des lacs pour informer les utilisateurs dans le t\u00e9l\u00e9chargement de logiciels malveillants tels que Lumma Stealer et Vidar Stealer.<\/p>\n<p>Clearfake, mis en \u00e9vidence pour la premi\u00e8re fois en juillet 2023, est le nom donn\u00e9 \u00e0 un cluster d&#8217;activit\u00e9s de menace qui utilise <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/are-you-sure-your-browser-date-current-landscape-fake-browser-updates\" target=\"_blank\">Faux app\u00e2ts de mise \u00e0 jour du navigateur Web<\/a> sur WordPress compromis en tant que vecteur de distribution de logiciels malveillants.<\/p>\n<p>La campagne est \u00e9galement connue pour s&#8217;appuyer sur une autre technique connue sous le nom d&#8217;EtherHiding pour r\u00e9cup\u00e9rer la charge utile \u00e0 la prochaine \u00e9tape en utilisant les contrats de la cha\u00eene intelligente de Binance (BSC) comme moyen de rendre la cha\u00eene d&#8217;attaque plus r\u00e9siliente. L&#8217;objectif final de ces cha\u00eenes d&#8217;infection est de fournir des logiciels malveillants de vol d&#8217;informations capables de cibler les syst\u00e8mes Windows et MacOS.<\/p>\n<p>En mai 2024, les attaques de Clearfake ont adopt\u00e9 ce qui est maintenant connu sous le nom de Clickfix, un <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/fake-captcha-lures-victims-lumma-stealer-abuses-clipboard-and-powershell\/\" target=\"_blank\">stratag\u00e8me en g\u00e9nie social<\/a> Cela implique de tromper les utilisateurs dans l&#8217;ex\u00e9cution du code PowerShell malveillant sous le couvert de r\u00e9soudre un probl\u00e8me technique inexistant.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Bien que cette nouvelle variante Clearfake continue de s&#8217;appuyer sur la technique de l&#8217;\u00e9tan et la tactique Clickfix, elle a introduit des interactions suppl\u00e9mentaires avec la cha\u00eene intelligente Binance&#8221;, Sekoia <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sekoia.io\/clearfakes-new-widespread-variant-increased-web3-exploitation-for-malware-delivery\/\" target=\"_blank\">dit<\/a> dans une nouvelle analyse.<\/p>\n<p>&#8220;En utilisant les interfaces binaires d&#8217;application de Smart Contrat, ces interactions impliquent le chargement de plusieurs codes JavaScript et des ressources suppl\u00e9mentaires qui emprentent le syst\u00e8me de la victime, ainsi que le t\u00e9l\u00e9chargement, le d\u00e9cryptage et l&#8217;affichage du leurre Clickfix.&#8221;<\/p>\n<p>La derni\u00e8re it\u00e9ration du cadre Clearfake marque une \u00e9volution significative, adoptant des capacit\u00e9s Web3 pour r\u00e9sister \u00e0 l&#8217;analyse et crypter le code HTML li\u00e9 \u00e0 ClickFix.<\/p>\n<p>Le r\u00e9sultat net est une s\u00e9quence d&#8217;attaque \u00e0 plusieurs \u00e9tapes mise \u00e0 jour qui est lanc\u00e9e lorsqu&#8217;une victime visite un site compromis, qui conduit ensuite \u00e0 la r\u00e9cup\u00e9ration d&#8217;un code JavaScript interm\u00e9diaire de BSC. Le JavaScript charg\u00e9 est par la suite responsable de l&#8217;empreinte digitale du syst\u00e8me et de la r\u00e9cup\u00e9ration du code ClickFix crypt\u00e9 h\u00e9berg\u00e9 sur les pages CloudFlare.<\/p>\n<p>Si la victime suivait et ex\u00e9cute le commandement malveillant PowerShell, cela conduit au d\u00e9ploiement de chargeur Emmenhtal (alias Peaklight) qui laisse tomber Lummma Stealer.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742421454_206_Clearfake-infecte-9-300-sites-utilise-un-faux-recaptcha-et.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742421454_206_Clearfake-infecte-9-300-sites-utilise-un-faux-recaptcha-et.png\" alt=\"Faux recaptcha et tourniquet\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Faux recaptcha et tourniquet\"\/><\/a><\/div>\n<p>Sekoia a d\u00e9clar\u00e9 avoir observ\u00e9 une autre cha\u00eene d&#8217;attaque de Clearfake fin janvier 2025 qui a servi un chargeur PowerShell responsable de l&#8217;installation du voleur de Vidar. Le mois dernier, au moins 9 300 sites Web ont \u00e9t\u00e9 infect\u00e9s par Clearfake.<\/p>\n<p>&#8220;L&#8217;op\u00e9rateur a syst\u00e9matiquement mis \u00e0 jour le code du framework, les leurres et les charges utiles distribu\u00e9es quotidiennement&#8221;, a-t-il ajout\u00e9. &#8220;L&#8217;ex\u00e9cution de Clearfake s&#8217;appuie d\u00e9sormais sur plusieurs \u00e9l\u00e9ments de donn\u00e9es stock\u00e9s dans la cha\u00eene intelligente Binance, y compris le code JavaScript, la cl\u00e9 AES, les URL h\u00e9bergeant des fichiers HTML et les commandes ClickFix PowerShell.&#8221;<\/p>\n<p>&#8220;Le nombre de sites Web compromis par Clearfake sugg\u00e8re que cette menace reste r\u00e9pandue et affecte de nombreux utilisateurs dans le monde. En juillet 2024, [&#8230;] Environ 200 000 utilisateurs uniques ont \u00e9t\u00e9 potentiellement expos\u00e9s \u00e0 des leurres Clearfake les encourageant \u00e0 t\u00e9l\u00e9charger des logiciels malveillants. &#8220;<\/p>\n<p>Le d\u00e9veloppement intervient alors que plus de 100 sites de concessionnaires automobiles ont \u00e9t\u00e9 d\u00e9couverts compromis avec <a rel=\"noopener nofollow\" href=\"https:\/\/www.hhs.gov\/sites\/default\/files\/clickfix-attacks-sector-alert-tlpclear.pdf\" target=\"_blank\">Clickfix Lres<\/a> Cela a conduit au d\u00e9ploiement de logiciels malveillants sectoprat.<\/p>\n<p>&#8220;Lorsque cette infection sur les concessionnaires automobiles s&#8217;est produite n&#8217;\u00e9tait pas sur le site Web du concessionnaire, mais un service vid\u00e9o tiers&#8221;, &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/rmceoin.github.io\/malware-analysis\/2025\/03\/13\/supply-chain.html\" target=\"_blank\">dit<\/a> Le chercheur en s\u00e9curit\u00e9 Randy McEoin, qui a d\u00e9taill\u00e9 certains des premiers <a rel=\"noopener nofollow\" href=\"https:\/\/rmceoin.github.io\/malware-analysis\/2023\/08\/06\/clearfake.html\" target=\"_blank\">Campagnes Clearfake<\/a> en 2023, d\u00e9crivant l&#8217;incident comme une instance d&#8217;une attaque de cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Le service vid\u00e9o en question est Les Automotive (&#8220;IdoStream[.]com &#8220;), qui a depuis supprim\u00e9 l&#8217;injection de javascript malveillante du site.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les r\u00e9sultats co\u00efncident \u00e9galement avec la d\u00e9couverte de plusieurs campagnes de phishing qui sont con\u00e7ues pour pousser diverses familles de logiciels malveillants et effectuer une r\u00e9colte d&#8217;identification &#8211;<\/p>\n<ul>\n<li>En utilisant <a rel=\"noopener nofollow\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/venomrat-malware-uses-virtual-hard-drives\" target=\"_blank\">fichiers virtuels durs (VHD)<\/a> int\u00e9gr\u00e9 dans les pi\u00e8ces jointes des fichiers d&#8217;archives dans les e-mails pour distribuer Venom Rat au moyen d&#8217;un script Windows Batch<\/li>\n<li>En utilisant <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/steganographic-campaign-distributing-malware\/\" target=\"_blank\">Pi\u00e8ces jointes de fichiers Microsoft Excel<\/a> qui exploite un d\u00e9faut de s\u00e9curit\u00e9 connu (CVE-2017-0199) pour t\u00e9l\u00e9charger une application HTML (HTA) qui utilise ensuite le script de base visuel (VBS) pour r\u00e9cup\u00e9rer une image, qui contient une autre charge utile responsable du d\u00e9codage et du lancement d&#8217;asyncrat et de Remcos Rat<\/li>\n<li>Exploitant <a rel=\"noopener nofollow\" href=\"https:\/\/guardz.com\/blog\/sophisticated-phishing-campaign-exploiting-microsoft-365-infrastructure\/\" target=\"_blank\">M\u00e9difigurations dans l&#8217;infrastructure Microsoft 365<\/a> Pour prendre le contr\u00f4le des locataires, cr\u00e9er de nouveaux comptes administratifs et livrer du contenu de phishing qui contourne les protections de s\u00e9curit\u00e9 par e-mail et facilite finalement la r\u00e9colte et la prise de contr\u00f4le des comptes (ATO)<\/li>\n<\/ul>\n<p>Alors que les campagnes d&#8217;ing\u00e9nierie sociale continuent de devenir plus sophistiqu\u00e9es, il est essentiel que les organisations et les entreprises restent en avance sur la courbe et mettent en \u0153uvre des m\u00e9canismes d&#8217;authentification et de contr\u00f4le d&#8217;acc\u00e8s robustes contre les techniques de l&#8217;adversaire dans le milieu (AITM) et des techniques de navigateur dans le milieu (BITM) qui permettent aux attaquants de d\u00e9tourner des comptes.<\/p>\n<p>&#8220;Un avantage central de l&#8217;utilisation d&#8217;un cadre BITM r\u00e9side dans sa capacit\u00e9 de ciblage rapide, lui permettant d&#8217;atteindre n&#8217;importe quel site Web sur le Web en quelques secondes et avec une configuration minimale&#8221;, Mandiant appartenant \u00e0 Google <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/session-stealing-browser-in-the-middle\" target=\"_blank\">dit<\/a> Dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>&#8220;Une fois qu&#8217;une application est cibl\u00e9e via un outil ou un cadre Bitm, le site l\u00e9gitime est servi par un navigateur contr\u00f4l\u00e9 par l&#8217;attaquant.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/clearfake-infects-9300-sites-uses-fake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 mars 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 cloud \/ s\u00e9curit\u00e9 Web Les acteurs de la menace derri\u00e8re le Clearfake La campagne utilise les fausses v\u00e9rifications de Turnique RecaptCha ou Cloudflare comme leur leur des lacs pour informer les utilisateurs dans le t\u00e9l\u00e9chargement de logiciels malveillants tels que Lumma Stealer et Vidar Stealer. Clearfake, mis en \u00e9vidence pour la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1586709,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,216313,4168,79002,274264,4161,274263,6124,133,22908,5971,16220,65,274267,4160,185,288061,26670,238617,246491,4172,2783,79016,288062,1282,4166,11956,4164],"class_list":["post-1586708","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-clearfake","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-dinformations","tag-faux","tag-infecte","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-recaptcha","tag-repandre","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sites","tag-the-hacker-news","tag-tourniquets","tag-utilise","tag-violation-de-donnees","tag-voleurs","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1586708","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1586708"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1586708\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1586709"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1586708"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1586708"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1586708"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}