ClickFix : la menace va un cran plus loin avec un faux écran bleu de Windows

Quoi de mieux qu’un écran bleu (BSOD) pour convaincre un utilisateur de PC sous Windows d’exécuter des commandes qui conduiront à une véritable compromission de son PC ?

C’est manifestement la réflexion que se sont faits les acteurs malveillants à l’origine de la campagne désignée « PHALT#BLYX » par les équipes de Securonix.

Dans un billet de blog, elles documentent une variante de la redoutable technique dite ClickFix s’appuie sur un faux écran bleu de la mort.

La campagne observée s’appuie, en point de départ, sur un email frauduleux, un phishing, visant à conduire l’internaute sur un faux site Web reprenant les codes graphiques de Booking.com : « pour un œil non entraîné, il n’est pas distinguable du site légitime ».

La page affiche un message d’erreur : « le chargement prend trop de temps », ou « loading is taking too long », en Anglais. Un bouton « refresh » propose de recharger la page.

C’est là, en cliquant sur le bouton, que le piège se tend : le faux BSOD est affiché et une commande malveillante est chargée dans le presse-papier. Des instructions sont affichées à l’écran pour en lancer l’exécution. Pour peu qu’elles soient suivies, le piège se referme sur l’internaute.

Une page du site Web légitime est ouverte. Ce qui compte se passe en arrière-plan : une charge utile est téléchargée et exécutée, tentant d’aveugler Windows Defender. S’en suit une tentative d’élévation de privilèges, et, lorsqu’elle est réussie, d’installation et d’exécution d’un cheval de Troie.

Lequel donnera, à l’assaillant, un contrôle étendu sur la machine du malheureux internaute. Dans le cadre de la campagne suivie par Securonix, il s’agit de DCRat, une variante « populaire » d’AsyncRAT.