Une nouvelle campagne de distribution de malwares utilise de faux messages d’erreur sur Google Chrome, Microsoft Word et OneDrive. Selon BleepingComputer, ces fausses alertes incitent les utilisateurs à exécuter des « correctifs » malveillants en PowerShell, installant ainsi des malwares sur leurs ordinateurs. Divers groupes de cybercriminels tels que ClearFake, ClickFix et TA571, connus pour diffuser des spams malveillants, sont impliqués dans cette campagne.
Dans des attaques précédentes, ClearFake utilisait des superpositions de sites web pour inciter les utilisateurs à installer de fausses mises à jour du navigateur. Dans ces nouvelles attaques, les cybercriminels utilisent du JavaScript dans des fichiers HTML joints et des sites web compromis.
D’après un rapport de l’entreprise de cybersécurité ProofPoint, ces messages d’erreur trompent les utilisateurs pour qu’ils copient un prétendu correctif PowerShell dans le presse-papiers, puis le collent et l’exécutent via la fonction Exécuter ou une console PowerShell avec des droits d’administrateur. « Bien que la chaîne d’attaque nécessite une interaction significative de l’utilisateur pour réussir, l’ingénierie sociale est suffisamment intelligente pour présenter à quelqu’un ce qui semble être un problème réel et une solution simultanément, ce qui peut inciter un utilisateur à agir sans prendre en compte le risque », avertit la société.
ProofPoint a identifié trois chaînes d’attaque différentes dans leurs étapes initiales, dont une seule n’est pas attribuée à TA571. Dans le premier cas, associé à ClearFake, les utilisateurs visitent un site web compromis qui charge un script malveillant hébergé sur la chaîne de blocs de Binance. Ce script affiche une fausse alerte Google Chrome et demande au visiteur d’installer un « certificat racine » en exécutant un script PowerShell.
La deuxième chaîne d’attaque, liée à une campagne de ClickFix, utilise des injections sur des sites web compromis pour créer des iframes affichant de faux messages d’erreur Google Chrome, demandant aux utilisateurs d’exécuter des commandes PowerShell. La troisième chaîne d’attaque utilise des emails avec des fichiers HTML joints ressemblant à des documents Microsoft Word, demandant aux utilisateurs d’installer l’extension « Word Online » pour voir correctement le document.
Dans tous les cas, les commandes PowerShell téléchargent et exécutent des fichiers malveillants, entraînant des infections comme Matanbuchus ou DarkGate. Avec ces nouvelles campagnes, les cybercriminels profitent du manque de sensibilisation aux risques d’exécution de commandes PowerShell et de l’incapacité de Windows à détecter ces actions malveillantes.
