Des chercheurs en cybersécurité ont révélé les détails d'une nouvelle campagne combinant de faux CAPTCHA de style ClickFix avec un script de virtualisation d'application (App-V) signé par Microsoft pour distribuer un voleur d'informations appelé Amatera.
“Au lieu de lancer PowerShell directement, l'attaquant utilise ce script pour contrôler le début de l'exécution et éviter les chemins d'exécution plus courants et facilement reconnaissables”, ont déclaré les chercheurs de Blackpoint Jack Patrick et Sam Decker dans un rapport publié la semaine dernière.
Ce faisant, l'idée est de transformer le script App-V en un binaire Living Off the Land (LotL) qui représente l'exécution de PowerShell via un composant Microsoft de confiance pour masquer les activités malveillantes.
Le point de départ de l'attaque est un faux message de vérification CAPTCHA qui cherche à inciter les utilisateurs à coller et à exécuter une commande malveillante dans la boîte de dialogue Exécuter de Windows. Mais c’est là que l’attaque diffère des attaques ClickFix traditionnelles.
La commande fournie, au lieu d'invoquer directement PowerShell, abuse de « SyncAppvPublishingServer.vbs », un script Visual Basic signé associé à App-V pour récupérer et exécuter un chargeur en mémoire à partir d'un serveur externe à l'aide de « wscript.exe ».
Il convient de noter que l’utilisation abusive de « SyncAppvPublishingServer.vbs » n’est pas nouvelle. En 2022, deux acteurs malveillants différents de Chine et de Corée du Nord, identifiés comme DarkHotel et BlueNoroff, ont été observés en train d'exploiter l'exploit LOLBin pour exécuter furtivement un script PowerShell. Mais c’est la première fois que cela est observé dans les attaques ClickFix.
« Les adversaires peuvent abuser de SyncAppvPublishingServer.vbs pour contourner les restrictions d'exécution de PowerShell et échapper aux contre-mesures défensives en « vivant de la terre » », note MITRE dans son cadre ATT&CK. “L'exécution du proxy peut fonctionner comme une alternative fiable/signée à l'invocation directe de 'powershell.exe'.”
L'utilisation d'un script App-V est également importante, car la solution de virtualisation est intégrée uniquement aux éditions Entreprise et Éducation de Windows 10 et Windows 11, ainsi qu'aux versions modernes de Windows Server. Non disponible pour les installations Windows Home ou Pro.
Sur les systèmes d'exploitation Windows sur lesquels App-V est absent ou n'est pas activé, l'exécution de la commande échoue complètement. Cela indique également que les systèmes gérés par l'entreprise seront probablement les principales cibles de la campagne.
Le chargeur obscurci exécute des vérifications pour s'assurer qu'il ne fonctionne pas dans des environnements isolés, puis procède à l'obtention des données de configuration à partir d'un fichier public Google Calendar (ICS), transformant essentiellement un service tiers de confiance en un correcteur de bogues.
“En externalisant la configuration de cette manière, l'acteur peut rapidement faire pivoter l'infrastructure ou ajuster les paramètres de livraison sans redéployer les étapes antérieures de la chaîne, réduisant ainsi les frictions opérationnelles et prolongeant la durée de vie du vecteur d'infection initial”, ont noté les chercheurs.
L'analyse du fichier d'événements du calendrier conduit à la récupération d'étapes de chargement supplémentaires, notamment un script PowerShell qui fonctionne comme un chargeur intermédiaire pour exécuter l'étape suivante, un autre script PowerShell, directement en mémoire. Cette étape, à son tour, aboutit à la récupération d'une image PNG à partir de domaines tels que “gcdnb.pbrd[.]C “et” Iili[.]io” via les API WinINet qui cachent une charge utile PowerShell chiffrée et compressée.
Le script résultant est déchiffré, décompressé par GZip en mémoire et exécuté à l'aide d'Invoke-Expression, aboutissant finalement à l'exécution d'un chargeur de shellcode conçu pour lancer Amatera Stealer.
“Ce qui rend cette campagne intéressante n'est pas une simple astuce, mais le soin avec lequel tout est soigneusement pensé lorsqu'il est enchaîné”, a conclu Blackpoint. “Chaque étape renforce la précédente, depuis l'exigence d'une interaction manuelle de l'utilisateur jusqu'à la validation de l'état du presse-papiers et l'extraction de la configuration en direct à partir d'un service externe de confiance.”
“Le résultat est un flux d'exécution qui ne progresse que lorsqu'il se déroule (presque) exactement comme l'attaquant l'attend, ce qui rend la détonation automatisée et l'analyse occasionnelle beaucoup plus difficiles.”
L'évolution de ClickFix : JackFix, CrashFix et GlitchFix
Cette révélation intervient alors que ClickFix est devenu l'une des méthodes d'accès initial les plus utilisées l'année dernière, représentant 47 % des attaques observées par Microsoft.
Les récentes campagnes ClickFix ont ciblé les créateurs de contenu sur les réseaux sociaux en prétendant qu'ils étaient éligibles à des badges vérifiés gratuits, leur demandant via des vidéos de copier les jetons d'authentification des cookies de leur navigateur sous une fausse forme pour terminer le processus de vérification supposé. La vidéo intégrée informe également l'utilisateur de « ne pas se déconnecter pendant au moins 24 heures » pour conserver la validité des jetons d'authentification.
La campagne, active depuis au moins septembre 2025, aurait utilisé 115 pages Web tout au long de la chaîne d’attaque et huit points de terminaison d’exfiltration, selon Hunt.io. Les principales cibles de l'activité sont les créateurs, les pages monétisées et les entreprises recherchant une vérification, dans le but ultime de faciliter le rachat de comptes suite à un vol de jetons.
“Se défendre contre la technique ClickFix est un défi unique car la chaîne d'attaque repose presque entièrement sur des actions légitimes d'utilisateurs et sur l'abus d'outils système fiables”, a déclaré Martin Zugec, directeur des solutions techniques chez Bitdefender, dans un rapport le mois dernier. “Contrairement aux logiciels malveillants traditionnels, ClickFix fait de l'utilisateur le vecteur d'accès initial, ce qui donne à l'attaque une apparence inoffensive du point de vue de la défense des points finaux.”
ClickFix évolue également constamment et utilise des variantes comme JackFix et CrashFix pour inciter la victime à infecter ses propres machines. Alors que les opérateurs utilisent diverses méthodes pour tenter de convaincre une cible d'exécuter une commande, la popularité croissante de la technique d'ingénierie sociale a ouvert la voie aux constructeurs ClickFix qui font de la publicité sur les forums de hackers pour entre 200 et 1 500 dollars par mois.
Le dernier venu dans ce paysage de menaces est ErrTraffic, un système de distribution de trafic (TDS) spécialement conçu pour les campagnes de type ClickFix en provoquant l'échec des sites Web compromis injectés avec du JavaScript malveillant, puis en suggérant une solution pour résoudre le problème inexistant. Cette technique a été nommée GlitchFix.
Malware as a Service (MaaS) prend en charge trois modes de distribution de fichiers différents qui impliquent l'utilisation de fausses alertes de mise à jour du navigateur, de fausses boîtes de dialogue « police système requise » et de fausses erreurs de police système manquante pour déclencher l'exécution de commandes malveillantes. ErrTraffic est explicitement empêché de s'exécuter sur des machines situées dans les pays de la Communauté des États indépendants (CEI).
“ErrTraffic affiche non seulement un faux avis de mise à jour, mais corrompt activement la page sous-jacente pour faire croire aux victimes que quelque chose ne va pas”, a déclaré Censys. “Il applique également des transformations CSS qui donnent l'impression que tout est cassé.”
ClickFix a également été adopté par les acteurs malveillants derrière la campagne ClearFake, connue pour infecter des sites avec de faux leurres de mise à jour de navigateur Web sur WordPress compromis afin de distribuer des logiciels malveillants. L'utilisation de ClickFix par ClearFake a été enregistrée pour la première fois en mai 2024, tirant parti des défis CAPTCHA pour fournir Emmenhtal Loader (alias PEAKLIGHT), qui lance ensuite Lumma Stealer.
La chaîne d'attaque utilise également une autre technique connue appelée EtherHiding pour récupérer le code JavaScript de l'étape suivante à l'aide de contrats intelligents sur la BNB Smart Chain (BSC) de Binance et enfin injecter le faux CAPTCHA ClickFix obtenu à partir d'un autre contrat intelligent dans la page Web. Dans le même temps, la dernière étape évite de réinfecter des victimes déjà infectées.
Comme dans le cas de l'attaque Amatera Stealer, la commande ClickFix copiée dans le presse-papiers abuse de “SyncAppvPublishingServer.vbs” pour obtenir la charge utile finale hébergée sur le réseau de diffusion de contenu (CDN) jsDelivr. L'analyse par Expel de la campagne ClearFake montre que jusqu'à 147 521 systèmes ont probablement été infectés depuis fin août 2025.
“L'un des nombreux facteurs utilisés par les produits de sécurité pour décider si un comportement est malveillant ou non est de savoir si ce comportement est exécuté par une application fiable”, a déclaré le chercheur en sécurité Marcus Hutchins. “Dans ce cas, 'SyncAppvPublishingServer.vbs' est un composant Windows par défaut et le fichier ne peut être modifié que par TrustedInstaller (un compte système hautement privilégié utilisé en interne par le système d'exploitation). Par conséquent, le fichier et son comportement seul ne seraient normalement pas suspects. “
« Il est peu probable que les organisations et les EDR empêchent complètement « SyncAppvPublishingServer.vbs » de lancer PowerShell en mode furtif, car cela empêcherait le composant d'être utilisé aux fins prévues. Par conséquent, en abusant du bug d'injection de ligne de commande dans « SyncAppvPublishingServer.vbs », les attaquants peuvent exécuter du code arbitraire via un composant système fiable.
Expel a également qualifié la campagne de très sophistiquée et très évasive, en raison de son utilisation de l'exécution de code PowerShell en mémoire, ainsi que de sa dépendance à la blockchain et aux CDN populaires, garantissant ainsi qu'elle ne communique avec aucune infrastructure qui n'est pas un service légitime.
Censys a décrit l'écosystème plus large des faux CAPTCHA comme un « modèle d'abus fragmenté et en évolution rapide qui utilise une infrastructure Web fiable comme surface de livraison », dans lequel les défis de type Cloudflare agissent comme un canal pour l'exécution dans le presse-papiers de commandes PowerShell, de scripts VB, d'installateurs MSI et même de ports vers des frameworks natifs de navigateur comme Matrix Push C2.
“Cela s'inscrit dans une évolution plus large vers la vie hors du Web : réutilisation systématique des interfaces axées sur la sécurité, des flux de travail sanctionnés par la plate-forme et du comportement conditionné des utilisateurs pour diffuser des logiciels malveillants”, a déclaré la société de gestion des surfaces d'attaque. « Les attaquants n'ont pas besoin de compromettre les services de confiance ; ils héritent de la confiance en opérant dans un navigateur familier et des workflows de vérification que les utilisateurs et les outils sont formés pour accepter. »
