Des infostealers diffusés par des techniquess ClickFix

Rapid7 et Microsoft ont détecté des campagnes mixant des sites WordPress et des leurres d'ingénierie sociale pour diffuser des logiciels de vol d'informations.

Découverte en 2024 par Proofpoint, les méthodes ClickFix deviennent de plus en plus sophistiquée en combinant des sites web avec des leurres d’ingénierie sociale. Pour mémoire, ces techniques font croire aux internautes que quelque chose ne va pas pour les forcer à cliquer sur un bouton ou exécuter une commande. Une campagne de ce type a été découverte exploitant plus de 250 sites WordPress dans 12 pays. De son côté, Microsoft a observé une attaque qui cible Windows Terminal pour exécuter une charge utile au lieu de la boîte de dialogue « Exécuter/Run » traditionnelle

La campagne WordPress est active depuis décembre 2025 et cible les visiteurs avec de faux Captcha de Cloudflare ont révélé la semaine dernière des chercheurs de Rapid7 dans un rapport. Les sites compromis comprennent des médias d’informations, des sites web d’entreprise et même la page d’un candidat au Sénat américain. « L'exécution à grande échelle de cette compromission sur des instances WordPress sans aucun lien entre elles suggère un haut niveau d'automatisation de la part de l'acteur malveillant et s'inscrit probablement dans le cadre d'une opération criminelle organisée à long terme », ont déclaré les experts.

Contournement de la détection

Cette campagne diffuse trois charges utiles distinctes destinées à voler des informations — dont deux étaient jusqu’alors inconnues — et utilise une infrastructure de domaines qui semble avoir été mise en place depuis juillet 2025. Les pirates dissimulent leur fragment de code JavaScript injecté sous la forme d’un optimiseur de performances qui ne se déclenche que si le navigateur du visiteur ne dispose pas d’un cookie d’administration WordPress. Cette technique vise à masquer le comportement malveillant aux administrateurs du site web. Le script récupère un faux Captcha de vérification Cloudflare à partir de l'un des 14 domaines contrôlés par les attaquants, qui pointent tous vers une seule adresse IP. Le faux Captcha demande aux visiteurs de copier-coller une commande dans la boîte de dialogue « Exécuter/Run » de Windows.

La commande malveillante se compose de code JavaScript et PowerShell obfusqué qui lance un chargeur de shellcode en mémoire baptisé DoubleDonut Loader. Ce dernier injecte des charges utiles directement dans des processus Windows officielles. « La chaîne de logiciels malveillants s’exécute presque entièrement en mémoire et dans le contexte de processus Windows discrets, rendant inefficace la détection traditionnelle basée sur les fichiers », a écrit Rapid7. Les sites compromis ne partageaient pas la même version vulnérable de WordPress ni le même plugin, ce qui suggère que les attaquants pourraient exploiter des identifiants faibles ou utiliser des exploits pour plusieurs vulnérabilités.

Des infostealers inconnus

Le chargeur DoubleDonut Loader a été observé en train de déployer une variante de Vidar Stealer, un voleur d’informations bien connu, qui utilise une technique appelée « dead drop resolver » pour récupérer sa configuration de commande et de contrôle ainsi que la résolution dynamique de l’API. Outre Vidar, deux infostealers jusqu'alors inconnus ont été repérés, l'un écrit en .NET et l'autre en C++.

Ces programmes ont été baptisés « Impure Stealer » et « VodkaStealer » par Rapid7. Tous deux recourent à des techniques de contournement de la détection, notamment un encodage non standard des données et un chiffrement symétrique pour les communications de commande et de contrôle, ou encore la détection d'un environnement de sandbox à l'aide de vérifications basées sur le système et l'heure.

Microsoft détecte une autre campagne

Outre ces charges utiles, les attaquants font également évoluer leurs leurres ClickFix. Une campagne distincte identifiée par l'équipe Threat Intelligence de Microsoft a remplacé la boîte de dialogue « Exécuter/Run » habituelle de Windows (Win+R) par l'application Windows Terminal (Win+X) pour l'exécution de commandes. Cette campagne a diffusé les célèbres Lumma Stealer et NetSupport RAT. Une deuxième charge utile impliquait une chaîne VBScript exécutée via MSBuild qui utilisait une technique appelée « etherhiding » pour télécharger du code de collecte d'identifiants. Eset a estimé que les attaques ClickFix avaient bondi de 517 % l'an dernier, avec de multiples variantes baptisées CrashFix, ConsentFix et PhantomCaptcha, chacune disposant de leurres et de mécanismes de diffusion différents.

Cette tactique d'ingénierie sociale basique s'est avérée si efficace que même des groupes étatiques tels que le groupe nord-coréen Lazarus, le groupe iranien MuddyWater et le groupe russe APT28 l'ont adoptée. En janvier, des chercheurs de Sekoia ont signalé qu'un autre framework ClickFix, baptisé IClickFix, avait été injecté dans plus de 3 800 sites WordPress depuis 2024. Les administrateurs de sites WordPress doivent s'assurer que leurs panneaux d'administration ne sont pas accessibles au public, car Rapid7 a constaté que la quasi-totalité des sites compromis lors de la campagne qu'elle a découverte disposaient de pages d'administration accessibles. Rapid7 a publié des indicateurs de compromission et des règles de détection Yara sur son dépôt GitHub public.