SOC Prime Bias: Élevé

30 Jun 2026 07:00 UTC

Au-delà du champ de connexion : la technique de phishing pour laquelle les utilisateurs ne sont pas préparés

Author Photo
SOC Prime Team linkedin icon Suivre
Au-delà du champ de connexion : la technique de phishing pour laquelle les utilisateurs ne sont pas préparés
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le phishing moderne a dépassé le simple vol d’identifiants et inclut désormais des techniques avancées telles que ClickFix, Browser-in-the-Browser, le phishing par consentement OAuth, le phishing par code de périphérique et les superpositions de vidéoconférences factices. Ces approches contournent la formation traditionnelle à la sensibilisation en abusant des outils système de confiance, des plateformes cloud légitimes et du comportement courant de dépannage des utilisateurs. Au lieu de simplement voler des mots de passe, les attaquants visent de plus en plus à contourner l’authentification multi-facteurs en convainquant les utilisateurs d’approuver des sessions malveillantes ou d’exécuter des commandes via des utilitaires de terminal natifs.

Enquête

Huntress a observé ces tactiques changeantes à travers ses services gérés EDR et ITDR, identifiant un déplacement plus large vers les abus natifs des navigateurs et les raccourcis d’ingénierie sociale. L’équipe a noté une forte augmentation du phishing par code de périphérique et a examiné comment les attaques de type ClickFix exploitent la mémoire musculaire de l’utilisateur pour déclencher l’exécution malveillante de commandes. La recherche montre également comment les attaquants tirent parti de la confiance que les utilisateurs placent dans des plateformes légitimes telles que Microsoft et Google pour accéder de manière non autorisée.

Atténuation

Les organisations devraient aller au-delà des programmes de sensibilisation à la sécurité statiques et adopter des simulations interactives qui reflètent le commerce actuel de phishing. Les utilisateurs doivent être formés pour repérer un comportement suspect du navigateur, y compris les fausses fenêtres qui ne peuvent pas être déplacées en dehors du cadre du navigateur, et éviter de saisir des codes d’autorisation de périphérique qu’ils n’ont pas eux-mêmes initiés. Des contrôles ITDR et EDR solides sont également essentiels pour détecter les octrois OAuth non autorisés et les activités d’exécution de commande suspectes.

Réponse

Lorsqu’une exécution de commande suspecte est détectée, comme Win+R suivie d’une activité terminale inattendue, les intervenants devraient isoler immédiatement le point terminal. En cas de suspicion de compromission OAuth ou de code de périphérique, les administrateurs doivent révoquer toutes les sessions actives et les jetons de mise à jour pour le compte affecté et examiner l’activité récente de consentement aux applications. Les journaux d’audit doivent également être vérifiés pour les événements inhabituels de Microsoft Entra ID et pour les signes d’installation d’outils RMM non autorisés.

Flux d’attaque

Exécution de simulation

Préalable : La vérification pré-vol de télémétrie et de base doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non pertinents conduiront à une mauvaise interprétation.

  • Narratif d’attaque et commandes : L’adversaire utilise une fausse invite « CAPTCHA » ou « Mise à jour du navigateur » pour tromper l’utilisateur. L’invite demande à l’utilisateur d’appuyer sur Win+R, puis Ctrl+V, puis Entrée pour « vérifier qu’il est humain. » L’utilisateur colle à son insu une commande malveillante qui crée un fichier nommé CAPTCHA_verification.txt puis exécute une commande shell contenant les chaînes d’instructions pour imiter la saisie « collée » de l’utilisateur. Cette simulation créera un fichier nommé « CAPTCHA_file.txt » et exécutera ensuite une commande contenant les chaînes « Ctrl+V » et « Entrée » pour satisfaire les sélection1 and sélection2 conditions.

  • Script de test de régression :

    # Simulation des TTP de ClickFix
    # 1. Créer un fichier avec 'CAPTCHA' dans le nom pour déclencher la sélection2 (EventID 11)
    $filePath = "$env:TEMPCAPTCHA_instruction.txt"
    New-Item -Path $filePath -ItemType File -Force
    
    # 2. Exécuter un processus avec 'Ctrl+V' et 'Enter' en ligne de commande pour déclencher la sélection1 (EventID 1)
    # Nous utilisons cmd.exe comme processus cible.
    Start-Process cmd.exe -ArgumentList "/c echo User pressed Ctrl+V and Enter > $filePath"
  • Commandes de nettoyage :

    # Nettoyer les artefacts simulés
    Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue