Le nouveau malware Mocha Manakin déploie NodeInitRAT via une attaque Clickfix
Une nouvelle cybermenace préoccupante, baptisée Mocha Manakin, a été identifiée par le cabinet de recherche en cybersécurité Red Canary. Repérée pour la première fois en janvier 2025, cette menace combine de manière unique l'ingénierie sociale et un logiciel malveillant spécialement conçu pour tromper les utilisateurs.
Mocha Manakin utilise une technique trompeuse appelée « coller et exécuter » (également connue sous le nom de Clickfix ou fakeCAPTCHA ). Cette méthode incite les utilisateurs à copier et exécuter à leur insu des commandes malveillantes, souvent déguisées en étapes pour corriger l'accès à un document ou prouver leur authenticité.
Ces fausses instructions contournent les contrôles de sécurité habituels, permettant ainsi au script malveillant de télécharger facilement d'autres programmes malveillants sur l'ordinateur de la victime. Depuis août 2024, Red Canary a constaté une augmentation des attaques de type « coller-exécuter » en raison de leur efficacité à tromper les utilisateurs.
Selon le blog technique de l'entreprise, Mocha Manakin se distingue par le programme malveillant personnalisé qu'il diffuse : une porte dérobée NodeInitRAT basée sur NodeJS. Lorsqu'un utilisateur tombe dans le piège du copier-coller, une commande PowerShell est exécutée pour télécharger un fichier .zip, qui est ensuite enregistré dans le dossier temporaire de l'utilisateur, généralement C:\Users\ .
Cette archive .zip contient un programme node.exe légitime. PowerShell utilise ensuite ce fichier pour exécuter le code malveillant NodeInitRAT, en le transmettant directement via la ligne de commande.
Une fois installé, NodeInitRAT peut secrètement collecter des informations réseau sensibles, exécuter toutes les commandes qui lui sont données et déployer des logiciels malveillants. Cette porte dérobée personnalisée communique avec ses contrôleurs via Internet, utilisant souvent des tunnels Cloudflare légitimes pour masquer son activité.
En mai 2025, Red Canary n'avait pas constaté directement que Mocha Manakin avait conduit à des attaques de rançongiciel. Cependant, compte tenu de ses capacités et de ses liens avec l'activité de rançongiciel Interlock observée par Sekoia.io , Red Canary estime avec une confiance modérée que des infections non stoppées par Mocha Manakin pourraient probablement entraîner des attaques de rançongiciel. Ce lien est préoccupant, soulignant le risque important de chiffrement des données et de poursuites financières.
Red Canary recommande aux organisations de former leurs employés aux techniques de copier-coller, en leur apprenant à ne pas suivre des instructions inattendues leur demandant de copier-coller des commandes dans leur système. La surveillance des comportements inhabituels de l'ordinateur est également cruciale. Si NodeInitRAT est détecté, arrêtez immédiatement les processus node.exe actifs exécutant le logiciel malveillant. Le code malveillant peut également se trouver dans des fichiers cachés (comme ceux trouvés dans AppData\Roaming ) ou dans des entrées du Registre Windows, qu'il convient de supprimer pour empêcher la réexécution du logiciel malveillant.
Pour la défense du réseau, bloquer la communication avec les domaines malveillants connus utilisés par NodeInitRAT peut l'empêcher de se connecter à ses contrôleurs. Les équipes techniques peuvent également configurer des règles de détection pour détecter les commandes PowerShell utilisant invoke-expression et invoke-restmethod , signes typiques de l'infection initiale par Mocha Manakin. En restant vigilantes et en mettant en œuvre ces mesures de protection, les organisations peuvent réduire considérablement leurs risques face à cette menace croissante.
HackRead
