Les pirates informatiques ont commencé à utiliser une méthode d’attaque « silencieuse » : presque aucune interaction n’est requise

La société de cybersécurité Check Point a mis en garde contre une nouvelle méthode de piratage appelée « FileFix ».

Cette méthode permet aux cybercriminels de tromper les utilisateurs et de les inciter à exécuter des commandes malveillantes, ce qui présente de graves risques pour la sécurité. De plus, pendant que les utilisateurs sont piégés, leurs ordinateurs les incitent à effectuer des actions routinières.

COMMENT ÇA MARCHE?

FileFix est un dérivé de la technique « ClickFix », autrefois largement utilisée. ClickFix incitait les utilisateurs à exécuter des commandes malveillantes via la fenêtre « Exécuter » de Windows. Exécuter est l'un des outils les plus couramment utilisés sous Windows. Cette fenêtre permet d'effectuer une action sur l'ordinateur ou d'ouvrir une application ou un programme. FileFix, quant à lui, ouvre l'Explorateur de fichiers Windows directement depuis une page web et charge automatiquement une commande PowerShell masquée dans le presse-papiers de l'utilisateur. PowerShell est un outil développé par Windows pour automatiser les processus informatiques. Dans ce cas précis, il s'agit en réalité d'un logiciel malveillant. La méthode d'attaque fonctionne étape par étape comme suit :

- Une fausse page Web est ouverte (par exemple, « vérification visuelle » ou « partage de documents »).

- Cette page démarre explorer.exe après avoir cliqué sur le bouton « Ouvrir l'explorateur de fichiers ».

- Copie simultanée de JavaScript et d'une commande PowerShell malveillante dans le presse-papiers.

La page demande à l'utilisateur de « coller le message dans la barre d'adresse et d'appuyer sur Entrée ». Windows exécute alors la commande PowerShell malveillante en arrière-plan.

Cible les comportements routiniers

En résumé, dans la plupart des cas, les utilisateurs, qui ne comprennent pas forcément ce qui se passe, exécutent le logiciel malveillant en suivant les commandes de leur ordinateur. Il est souligné que cette attaque ne se base pas sur une vulnérabilité logicielle, mais plutôt sur l'exploitation du comportement et de la confiance des utilisateurs. Les chercheurs de Check Point ont indiqué que des acteurs malveillants ont déjà commencé à utiliser la méthode FileFix, mais que les fichiers actuellement téléchargés sont inoffensifs. Cela suggère que les attaquants effectuent probablement des tests avant de déployer de véritables logiciels malveillants. Des experts interrogés par IT Pro ont souligné que l'utilisation de FileFix sur le terrain quelques jours seulement après sa sortie publique illustre la rapidité avec laquelle les attaquants s'adaptent aux nouvelles méthodes. « Les attaquants rendent la mise en œuvre de défenses de plus en plus difficile en ciblant les fonctionnalités clés de Windows », a déclaré Dray Agha, responsable des opérations de sécurité chez Huntress, une entreprise de cybersécurité. « Ils sont capables d'exécuter des commandes PowerShell malveillantes sans déclencher les alertes de sécurité standard. » M. Agha a souligné que FileFix est largement utilisé avec succès et que de nombreux utilisateurs ont été victimes de cette technique.

COMMENT PROTÉGER ?

Les experts de Check Point ont proposé les recommandations suivantes aux équipes de sécurité informatique pour se protéger contre de telles attaques :

- Surveillez attentivement les fausses pages de vérification et les sites de phishing imitant des services populaires. Méfiez-vous particulièrement des fausses pages utilisant des modèles similaires à Cloudflare. - Mettez en œuvre et mettez à jour régulièrement des règles pour détecter les appels PowerShell inhabituels déclenchés par du contenu copié dans le presse-papiers et les interactions des utilisateurs. - Surveillez les tendances en matière d'ingénierie sociale et mettez régulièrement à jour la formation des employés, les plans de réponse aux incidents et les protocoles de sécurité. - Créez une « culture de la vérification ». Les employés ne doivent jamais répondre à des demandes inhabituelles ou inattendues sans les avoir préalablement vérifiées auprès du service de sécurité concerné. De plus, la sensibilisation des utilisateurs reste la ligne de défense la plus importante pour atténuer l'impact de telles attaques. Il est également conseillé aux utilisateurs d'être vigilants sur les points suivants :

- Soyez extrêmement méfiant à l'égard des e-mails et des pages Web qui demandent des actions inhabituelles comme le copier-coller. - Les sites Web ou logiciels authentiques vous demandent rarement d'exécuter des commandes manuelles pour résoudre des problèmes.