ClickFix Enlève Votre Fond d’Écran mais Laisse le Malware

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

ClickFix Enlève Votre Fond d’Écran mais Laisse le Malware

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Un site Web malveillant se faisant passer pour un service de suppression d’arrière-plan gratuit livre un cadre de logiciels malveillants en plusieurs étapes connu sous le nom de CastleLoader. Une fois exécuté, le chargeur installe NetSupport RAT avec un voleur personnalisé .NET conçu pour extraire les identifiants de navigateur, les données de portefeuille de crypto-monnaies et les informations de session Telegram. Le logiciel malveillant communique avec son infrastructure de commande et de contrôle via des canaux cryptés qui reposent sur des protocoles personnalisés et le chiffrement ChaCha20. La campagne utilise également plusieurs techniques d’évasion, y compris le processus de cavité, l’injection APC et l’abus de ReplaceTextW, pour réduire la détection et maintenir l’exécution.

Enquête

Les chercheurs ont retracé l’attaque à un charge utile initial copié dans le presse-papiers de la victime via une fausse invite « Je ne suis pas un robot », suivie de l’utilisation de finger.exe pour récupérer une commande d’un serveur distant. Une analyse plus approfondie a révélé une chaîne Python basée sur l’approvisionnement de votre propre interpréteur qui a téléchargé des composants de logiciels malveillants supplémentaires, un chargeur de shellcode personnalisé protégé par RC4, et un chargeur PE réflectif qui a appelé NtAllocateVirtualMemory directement. Les enquêteurs ont découvert que CastleLoader récupérait des tâches chiffrées depuis son serveur de commande et de contrôle, les décryptait en mémoire, et lançait des charges utiles de suivi par plusieurs méthodes d’exécution différentes.

Atténuation

Les défenseurs doivent bloquer l’exécution des utilitaires Windows inutiles tels que finger.exe and regsvr32.exe, appliquer AppLocker ou des politiques de contrôle des applications comparables, et restreindre le trafic sortant vers des domaines non fiables et des ports peu courants. Les organisations devraient également envisager de limiter l’accès à la boîte de dialogue Exécuter lorsque possible d’un point de vue opérationnel et surveiller l’utilisation suspecte de ReplaceTextW et une activité COM d’objets inhabituels. Le renforcement du navigateur peut aider à réduire l’exposition au vol d’identifiants basé sur DPAPI, tandis que garder les extensions de portefeuille de crypto-monnaies à jour peut réduire le risque de compromission du portefeuille.

Réponse

Les équipes de sécurité devraient rechercher CastleLoader en détectant la commande caractéristique via le presse-papiers, en surveillant le trafic vers les domaines de commande et de contrôle identifiés, et en recherchant les chaînes d’agent utilisateur personnalisées du logiciel malveillant. Les enquêteurs devraient également passer en revue toutes les tâches planifiées créées sous %ProgramData% et rechercher la valeur de mutex associée. Si l’infection est confirmée, isoler l’hôte affecté, terminer tous les processus NetSupport RAT actifs, et supprimer les fichiers malveillants déposés dans %ProgramData% and %LocalAppData%.

"graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Node Definitions tech_content_injection["Technique – T1659 Injection de Contenu Description: L’adversaire injecte un contenu malveillant dans des fichiers légitimes ou des flux de données pour livrer des charges utiles."] class tech_content_injection technique tech_user_exec_link["Technique – T1204.001 Exécution Utilisateur : Lien Malveillant Description: La victime est incitée à cliquer sur un hyperlien malveillant qui lance du code malveillant."] class tech_user_exec_link technique tech_user_exec_copypaste["Technique – T1204.004 Exécution Utilisateur : Copier-Coller Malveillant Description: La victime copie et colle le code ou les commandes malveillantes dans une application de confiance."] class tech_user_exec_copypaste technique tech_obfuscation["Technique – T1027 Fichiers ou Informations Obfusqués Description: Le logiciel malveillant est caché en utilisant des techniques d’obfuscation pour échapper à la détection."] class tech_obfuscation technique tech_deobfuscate["Technique – T1140 Déobfuscation/Décodage de Fichiers ou d’Informations Description: Le code malveillant est décodé ou déobfusqué pour révéler sa véritable fonctionnalité."] class tech_deobfuscate technique tech_encrypted_channel["Technique – T1573 Canal Chiffré Description: La communication est chiffrée pour protéger les données en transit de l’analyse."] class tech_encrypted_channel technique tech_process_injection_apc["Technique – T1055.009 Injection de Processus (APC) Description: Du code est injecté dans un processus cible en utilisant des appels de procédure asynchrones."] class tech_process_injection_apc technique tech_process_hollowing["Technique – T1055.012 Injection de Processus (Cavité de Processus) Description: Un processus légitime est créé et sa mémoire est remplacée par du code malveillant."] class tech_process_hollowing technique tech_reflective_loading["Technique – T1620 Chargement de Code Réfléchi Description: Le code malveillant est chargé directement en mémoire sans toucher le disque."] class tech_reflective_loading technique tech_screen_capture["Technique – T1113 Capture d’Écran Description: Capture des captures d’écran du bureau de la victime pour la reconnaissance."] class tech_screen_capture technique tech_regsvr32["Technique – T1218.010 Exécution de Proxy Regsvr32 Description: Utilise regsvr32 pour exécuter du code malveillant via une DLL de proxy."] class tech_regsvr32 technique tech_masquerading["Technique – T1036.011 Masquage (copie de conhost) Description: Le binaire malveillant est renommé ou copié pour ressembler à conhost.exe afin d’éviter la suspicion."] class tech_masquerading technique tech_relocate_malware["Technique – T1070.010 Relocaliser le Logiciel Malveillant (noms de fichiers aléatoires) Description: Les fichiers de logiciels malveillants sont déplacés et renommés avec des noms aléatoires pour entraver la découverte."] class tech_relocate_malware technique tech_credential_theft["Technique – T1552.004 Vol d’Identifiants (DPAPI/AES) Description: Extrait les identifiants protégés par le chiffrement DPAPI ou AES."] class tech_credential_theft technique tech_keylogging["Technique – T1056.001 Keylogging Description: Capture les frappes entrées par l’utilisateur pour récolter des informations sensibles."] class tech_keylogging technique %% Connections tech_content_injection –>|mène à| tech_user_exec_link tech_user_exec_link –>|mène à| tech_user_exec_copypaste tech_user_exec_copypaste –>|mène à| tech_obfuscation tech_obfuscation –>|mène à| tech_deobfuscate tech_deobfuscate –>|mène à| tech_encrypted_channel tech_encrypted_channel –>|mène à| tech_process_injection_apc tech_process_injection_apc –>|mène à| tech_process_hollowing tech_process_hollowing –>|mène à| tech_reflective_loading tech_reflective_loading –>|mène à| tech_screen_capture tech_screen_capture –>|mène à| tech_regsvr32 tech_regsvr32 –>|mène à| tech_masquerading tech_masquerading –>|mène à| tech_relocate_malware tech_relocate_malware –>|mène à| tech_credential_theft tech_credential_theft –>|mène à| tech_keylogging "

Flux d’attaque

Récit d’attaque et commandes :
Un adversaire qui a déjà compromis un compte à faible privilège souhaite utiliser un binaire Windows signé (finger.exe) pour cacher l’exécution d’une charge utile de chiffrement personnalisée. Ils invoquent le binaire avec un argument conçu qui inclut la chaîne “RC4” (ou “AES-CBC”) pour indiquer le chiffrement choisi. Comme le binaire est signé, AppLocker de Windows ou d’autres solutions de liste blanche sont moins susceptibles de le bloquer, et le mot-clé de la ligne de commande satisfait la règle Sigma de chiffrement condition.

Script de Test de Régression :

# ------------------------------------------------------------
# Utilisation malveillante simulée de finger.exe avec chiffrement RC4
# ------------------------------------------------------------
# Assurez-vous que finger.exe est dans le PATH ou spécifiez le chemin complet.
$fingerPath = "$env:SystemRootSystem32finger.exe"

if (-not (Test-Path $fingerPath)) {
    Write-Error "finger.exe non trouvé à $fingerPath"
    exit 1
}

# Créez une ligne de commande qui inclut le mot-clé RC4
$maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5"

Write-Host "Exécution de commande malveillante : $maliciousCmd"
Invoke-Expression $maliciousCmd

# Optionnel : Pause pour permettre l'ingestion de SIEM
Start-Sleep -Seconds 5

Commandes de Nettoyage :

# Terminerez tous les processus finger.exe en attente
Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force

Write-Host "Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement