Quand une compromission par ClickFix ouvre la porte au ransomware

Le groupe Velvet Tempest (DEV-0504), acteur majeur du crime cybernétique, a démontré sa capacité à infiltrer des réseaux d'entreprise d'envergure. En s'appuyant sur la technique « ClickFix » et en exploitant les utilitaires Windows légitimes, ce groupe contourne les défenses périmétriques classiques pour déployer des charges utiles comme CastleRAT et DonutLoader.

Bien que l'objectif final reste l'extorsion via rançongiciel, l'analyse révèle que la phase critique n'est pas le chiffrement, mais le travail de fond : le profilage de l'Active Directory, le vol d'identifiants Chrome et la persistance silencieuse. 

Associé à des décennies d'attaques parmi les plus destructrices, incluant Ryuk, REvil, Conti, BlackCat/ALPHV et LockBit, Velvet Tempest affiche une connaissance approfondie des infrastructures de défense et des réponses attendues des équipes SOC.

Cette expertise est illustrée par l'incursion documentée par MalBeacon, observée du 3 au 16 février dans un environnement de test reproduisant une organisation à but non lucratif de plus de 3 000 postes, et rapportée par nos confrères de Bleeping Computer.

Contrairement aux attaques visant un déploiement rapide, l'équipe de Velvet Tempest a mené une approche méthodique de type « hands-on keyboard ». Les opérateurs ont effectué une reconnaissance du service d'annuaire Active Directory, une découverte d'hôtes et un profilage approfondi de l'environnement réseau. Bien que le chiffrement avec rançongiciel n'ait pas été exécuté durant cette période, la phase d'activité observée démontre une intention claire d'établir une présence durable et de préparer une exfiltration massive de données. Mais elle aurait pu déboucher sur un déploiement et une activation du ransomware Termite : des marqueurs techniques précédemment associés à ce dernier ont été impliqué dans l'intrusion suivie par MalBeacon.

La technique « ClickFix », identifiée pour la première fois par Proofpoint en mars 2024, marque une rupture dans la chaîne d'attaque initiale. Elle repose sur l'ingénierie sociale pour manipuler l'utilisateur afin qu'il exécute lui-même une ligne de commande obfusquée. Dans le scénario observé par MalBeacon, une campagne de malvertising combinant de faux CAPTCHA et des alertes d'erreur systémiques incite la cible à copier une chaîne de commandes complexe et à l'exécuter via la boîte de dialogue `Run` de Windows. Cette action contourne les mécanismes de sécurité traditionnels qui bloquent l'exécution automatique de scripts. Une fois la commande collée et validée, une chaîne d'appels imbriqués de cmd.exe se déclenche, utilisant des utilitaires Windows légitimes pour initier la récupération de la charge utile.

Fin 2025, Push Security a documenté une nouvelle variante de ClickFix. Là encore, il s’agit d’amener l’utilisateur à copier-coller une ligne de commande dont l’exécution déclenchera la compromission. La technique a été baptisée « ConsentFix ».

« Vous pouvez la considérer comme une attaque ClickFix native du navigateur qui hameçonne un jeton OAuth sur une application cible, en amenant la victime à copier-coller une URL contenant des éléments de clé OAuth dans une page de phishing », résume le vice-président de Push Security en charge de la R&D, Luke Jennings, dans un billet de blog.