Executive Summary

Insikt Group a identifié cinq groupes distincts utilisant l'ingénierie sociale de ClickFix TTPs pour faciliter l'accès initial aux systèmes hôtes. Observés depuis au moins mai 2024, ces groupes comprennent ceux qui usurpent l'identité de l'application financière Intuit QuickBooks et de l'agence de voyage Booking.com. Insikt Group s'est appuyée sur l'ensemble de données de Recorded Future® HTML Content Analysis, qui permet une surveillance systématique des artefacts web intégrés afin d'identifier et de suivre les nouveaux domaines et infrastructures malveillants.

Les grappes démontrent des variations opérationnelles significatives dans les thèmes des leurres et les modèles d'infrastructure, et mettent en évidence l'évolution de TTPs, qui dépasse la simple vérification en trompant visuellement les victimes avec divers faux défis et démontre une sophistication technique par la détection du système d'exploitation afin d'adapter les chaînes d'exécution. Malgré ces différences structurelles, le fonctionnement est en grande partie le même, ce qui montre que le cœur de ClickFix ( TTPs ) fonctionne sur toutes les plateformes et que seul le leurre d'ingénierie sociale doit être adapté à la victime. acteur malveillant manipuler les victimes pour qu'elles exécutent des commandes malveillantes et obscurcies directement dans les outils natifs du système, comme la boîte de dialogue Exécuter de Windows ou le Terminal de macOS.

Cette approche "living-off-the-land" (LotL) permet aux scripts malveillants de s'exécuter en mémoire, contournant ainsi la sécurité traditionnelle des navigateurs et les contrôles des points d'accès. Des groupes parallèles ciblant des secteurs aussi divers que la comptabilité, l'immobilier et les services juridiques indiquent que ClickFix est devenu un modèle standardisé à fort ROI pour les groupes cybercriminels et les groupes de menaces persistantes avancées (APT).

Pour se protéger contre ces menaces, les défenseurs de la sécurité doivent aller au-delà du simple blocage des indicateurs et donner la priorité à un durcissement agressif du comportement. Parmi les principales recommandations, citons la désactivation de la boîte de dialogue Exécuter de Windows via les objets de stratégie de groupe (GPO), la mise en œuvre du mode de langage contraint (CLM) de PowerShell et l'utilisation d'outils de prévention des risques numériques tels que Recorded Future's Malicious Websites pour identifier et atténuer les menaces pesant sur vos actifs numériques.

Sur la base d'une utilisation croissante depuis 2024, Insikt Group estime que la méthodologie ClickFix restera très probablement un vecteur d'accès initial primaire tout au long de 2026, car acteur malveillant continue à faire de l'ingénierie sociale auprès des victimes pour permettre l'exploitation. À l'avenir, Insikt Group prévoit que les leurres ClickFix deviendront de plus en plus techniquement adaptables, incorporant des empreintes de navigateur plus sélectives, tout en continuant à utiliser une infrastructure qui peut être construite et démantelée rapidement. Outre les perfectionnements techniques, Insikt Group prévoit que la composante "ingénierie sociale" continuera d'évoluer, en exploitant de nouveaux sites TTPs pour inciter les victimes à exécuter des commandes malveillantes.

Key Findings

• Insikt Group a identifié et suivi cinq groupes distincts d'activités ClickFix présentant des différences opérationnelles significatives dans les thèmes des leurres et les modèles d'infrastructure malgré une dépendance commune à l'égard des leurres frauduleux de vérification humaine. Cela indique que la méthodologie ClickFix est devenue un modèle standardisé, hautementROI, adopté par un écosystème fragmenté de acteur malveillant.
• Bien que visuellement différents, tous les groupes analysés utilisent un cadre d'exécution cohérent qui contourne les contrôles de sécurité traditionnels des navigateurs en déplaçant le point d'exploitation vers des commandes manuelles assistées par l'utilisateur. Ces sites Campagne s'adressent à une grande variété de secteurs, notamment la comptabilité (QuickBooks), les voyages (Booking.com), et l'optimisation du système (macOS).
• L'exécution technique de ClickFix suit un schéma normalisé en quatre étapes : entrée de chaînes de caractères hautement codées ou fragmentées, exécution native par le biais de systèmes légitimes de binaires vivant hors des terres (LOLBins), entrée à distance à partir d'une infrastructure contrôlée par acteur malveillant, et exécution immédiate en mémoire. Cette méthode permet à acteur malveillant de mettre en scène et d'exécuter un code distant avec des artefacts limités et éphémères sur le système hôte.

Background

Décrit pour la première fois à la fin de l'année 2023, ClickFix est passé d'une niche d'ingénierie sociale TTPs à une pierre angulaire de l'écosystème mondial de la cybercriminalité. ClickFix est une méthode d'ingénierie sociale qui incite les victimes à exécuter manuellement des commandes malveillantes en se faisant passer pour une solution technique nécessaire à de fausses erreurs système ou à des invites de vérification humaine. Ce site TTPs représente une évolution par rapport au modèle FakeUpdates (SocGholish), qui privilégie l'intervention manuelle de l'utilisateur pour contourner les dispositifs de sécurité de plus en plus robustes des navigateurs web modernes et des systèmes de détection automatisés des points d'accès. Dans ce contexte, la méthodologie incarne une approche "think smart, not hard". La simplicité du recours à une action manuelle de l'utilisateur en fait un puissant moyen d'évasion défensive TTPs: le contournement des mesures de sécurité typiques basées sur les navigateurs le rend difficile à détecter, tandis que le grand nombre de sites acteur malveillant qui l'utilisent le rend difficile à suivre dans un paysage des menaces, contexte des menaces fragmenté.

Le cœur technique de la méthode repose principalement sur le "pastejacking", où le JavaScript en arrière-plan remplit le presse-papiers de la victime avec une commande obscurcie pendant qu'elle est distraite par des leurres visuels tels que des reCAPTCHA frauduleux ou des superpositions de tourniquets Cloudflare. Dans certains cas, les commandes malveillantes ne sont pas automatiquement collées dans le presse-papiers de la victime, mais celle-ci est manipulée pour copier et exécuter la commande manuellement. En s'appuyant sur une approche de type "living-off-the-land" (LotL), acteur malveillant manipule les utilisateurs pour qu'ils exécutent ces commandes directement dans des outils système de confiance tels que la boîte de dialogue Exécuter de Windows, PowerShell ou le Terminal de macOS. Cette exécution assistée par l'utilisateur permet aux scripts malveillants de s'exécuter silencieusement et de contourner les périmètres de sécurité traditionnels des navigateurs et des terminaux.

ClickFix a été utilisé par un large éventail de acteur malveillant, allant des courtiers d'accès initial (IAB) à fort volume aux groupes sophistiqués parrainés par l'État tels que BlueDelta (alias APT28) et le groupe nord-coréen PurpleBravo. Cette méthodologie permet de mettre en place un cadre de diffusion reproductible et évolutif capable de déployer une grande variété de charges utiles secondaires, notamment des voleurs d'informations tels que Lumma Stealer et Vidar, ou des chevaux de Troie d'accès à distance (RAT) tels que NetSupport RAT et Odyssey Stealer. Ces opérations s'appuient souvent sur une infrastructure hautement adaptable et jetable, conçue pour maintenir la continuité opérationnelle même lorsque des domaines individuels sont identifiés et bloqués.

Analyse technique

Insikt Group a identifié et suivi cinq groupes émergents de ClickFix en s'appuyant sur l'ensemble de données d'analyse du contenu HTML ( Recorded Future ), qui permet le suivi systématique des artefacts Web intégrés. En s'appuyant sur des identifiants techniques uniques, notamment des hachages spécifiques du modèle d'objet du document (DOM), des balises de sources d'images codées en dur et des titres de pages uniques, Insikt Group a cartographié l'infrastructure de ClickFix et identifié de nouveaux domaines et infrastructures malveillants, facilitant ainsi la découverte de domaines actifs et la surveillance en temps quasi réel de l'évolution des grappes de serveurs.

Pour l'ensemble des groupes analysés, Insikt Group a détaillé les commandes ClickFix que les victimes ont été manipulées pour exécuter sur leurs systèmes. Ces commandements se sont fortement appuyés sur les LOLBins pour atteindre leurs objectifs opérationnels. En utilisant LOLBins, acteur malveillant s'appuie sur des exécutables natifs, légitimement signés, pour télécharger des charges utiles malveillantes sur l'ordinateur d'une victime. En fonction de la mise en œuvre de la sécurité des machines personnelles ou des terminaux d'entreprise, cette méthodologie peut effectivement échapper à la détection standard et aux principes de sécurité fondamentaux.

Clusters ClickFix

Insikt Group a permis d'identifier cinq groupes (voir figure 1) qui présentaient des différences opérationnelles significatives en dépit d'une dépendance commune à l'égard de l'ingénierie sociale de ClickFix TTPs. Ces groupes ont été définis par leurs schémas d'infrastructure et leurs approches de ciblage, allant des leurres à thème logistique à la logique de sélection à double plate-forme. Cela indique que la méthodologie ClickFix est déployée dans un écosystème fragmenté de acteur malveillant, chacun adaptant le site TTPs à ses propres besoins et au profil des victimes.

Ces groupes ont été regroupés sur la base de modèles observables de réutilisation des infrastructures, de formatage des appâts, de ciblage des plateformes et d'ajustements opérationnels au fil du temps. Bien que les éléments techniques essentiels et les mécanismes de mise en œuvre se chevauchent, chaque groupe a conservé une empreinte distincte dans le paysage général. Insikt Group a classé l'activité en cinq catégories :

• Intuit QuickBooks : Usurpation d'identité ciblée d'un logiciel de comptabilité, utilisant souvent des domaines anciens pour contourner les filtres de sécurité.
• Booking.com : Utilisation de domaines frauduleux pour présenter de faux portails de vérification
• Birdeye : Une grappe à grande échelle qui attire les utilisateurs de la société de marketing AI Birdeye en usurpant des domaines et en manipulant les victimes pour qu'elles utilisent une commande malveillante afin de livrer le RAT NetSupport.
• Sélection de deux plates-formes : Utilisation de la détection du système d'exploitation pour fournir des leurres et des logiciels malveillants adaptés à la plate-forme.
• Nettoyage du stockage de macOS : Utilisation de fausses invites imitant l'optimisation du système macOS pour inciter les utilisateurs à exécuter des commandes de terminal codées.

Groupe 1 : Intuit QuickBooks

La grappe 1 a été observée de janvier 2026 à la date de rédaction du présent rapport, ciblant principalement des organisations par le biais de leurres d'ingénierie sociale se faisant passer pour le logiciel de comptabilité Intuit QuickBooks. QuickBooks est largement utilisé pour la préparation des déclarations d'impôts aux États-Unis ; étant donné que la fenêtre active de Campagne coïncide avec la saison des déclarations d'impôts aux États-Unis (généralement de janvier au 15 avril), Insikt Group estime avec un degré de confiance modéré que le choix du moment était un effort calculé pour cibler Entité qui s'occupe de finances reporting. Bien que ce groupe ait récemment changé d'orientation pour cibler les utilisateurs de la place de marché immobilière américaine Zillow, les artefacts liés à QuickBooks et l'imagerie propre à la marque restent profondément ancrés dans le modèle d'objet du document (DOM) des pages d'atterrissage malveillantes.

Profil du groupe 1

Chaîne d'infection du groupe 1

La chaîne d'infection commence lorsqu'une victime arrive sur une page d'accueil de ClickFix. La page présente une interface de vérification humaine frauduleuse (voir figure 3) qui demande à la victime de suivre des étapes de vérification spécifiques sur "" .

En interagissant avec la page, la victime copie à son insu une commande malveillante dans le presse-papiers de son système. L'adresse TTPs entraîne souvent l'exécution par le biais d'utilitaires système natifs, tels que la boîte de dialogue Exécuter de Windows et PowerShell, en tirant parti des LOLBins pour échapper aux contrôles de sécurité traditionnels basés sur les navigateurs et les points finaux.

Lorsque vous collez la commande, un script PowerShell obscurci (figure 4) s'exécute dans une fenêtre cachée. Ce stager utilise des noms de fonctions autoréférents pour construire et invoquer dynamiquement Invoke-RestMethod vers le domaine nobovcs[.]com.

This request triggers the retrieval of a short PowerShell stager (see Figure 5) that downloads a second-stage payload, bibi.php, saving it to the %TEMP% directory as script.ps1. This stager is the initial execution step that kicks off the NetSupport RAT installation.

The bibi.php script is essential for the final deployment phase and for obfuscating on-disk artifacts. It contains a function called Get-RomanticName, which selects and combines strings from a thematic wordlist, including terms such as "Heart", "Soul", and "Desire", to generate a randomized folder name under %LOCALAPPDATA%, where the staging files are placed.

Le script récupère quatre fichiers primaires de nobovcs[.]com, détaillées dans le tableau 2.

Table 2: Noms de fichiers et hachages SHA256 des fichiers téléchargés à partir de nobovcs[.]com (sources : Recorded Future)

Le script utilise 7z.exe pour extraire at.7z (protégé par le mot de passe "pppp"), qui contient le binaire du RAT NetSupport, neservice.exe. La persistance est établie en détournant les raccourcis de démarrage ; si aucun raccourci existant n'est détecté, le script extrait lnk.7z vers le dossier de démarrage pour s'assurer que la charge utile se lance automatiquement au redémarrage du système.

Une fois l'exécution réussie, le binaire neservice.exe effectue une requête HTTP GET vers gologpoint[.]com pour lancer des communications de commande et de contrôle (C2). gologpoint[.]com se résout à l'adresse IP 62[.]164[.]177[.]230.

Groupe 2 : Booking.com

La grappe 2 a été observée de février 2026 à la date de rédaction du présent document, se faisant passer pour l'agence de voyage Booking.com. Insikt Group a suivi le groupe en pivotant sur un hachage DOM unique, rendu possible par l'utilisation répétée d'un titre HTML unique et de fichiers images cohérents sur le site acteur malveillant. Les indicateurs de compromission (IoC) marqués dans ce groupe sont visibles dans l'analyse du contenu HTML de Recorded Future. Les pages de renvoi de ce groupe utilisent un défi reCAPTCHA v2 contrefait, demandant aux victimes de sélectionner toutes les photos contenant un seau ""(figure 6). Insikt Group a observé que les mêmes photos de défi sont présentées dans le même ordre sur toutes les pages analysées.

Profil du groupe 2

Chaîne d'infection du groupe 2

Le processus commence lorsqu'une victime interagit avec le faux défi. Une fois le défi relevé, la victime est redirigée vers une page de vérification où une commande PowerShell malveillante(voir figure 8) est copiée dans le presse-papiers du système. Les instructions figurant sur la page de vérification incitent la victime à ouvrir la boîte de dialogue Windows Run et à saisir la commande. L'exécution de cette commande malveillante déclenche la chaîne d'infection de NetSupport RAT.

La commande PowerShell fournie dans le fichier script.ps1 (voir figure 9) s'exécute avec les options -NoProfile et -ExecutionPolicy Bypass pour contourner les restrictions standard en matière de journalisation et de sécurité. Après l'exécution, le système extrait quatre fichiers d'étape dans un répertoire nommé DesireSpark Serenade. Cette convention de dénomination des répertoires est fonctionnellement identique à la méthode de dénomination "romantique" observée dans le groupe 1.

Le mécanisme de mise à disposition primaire s'appuie sur script.ps1 pour extraire les charges utiles secondaires du serveur de mise à disposition. Dans un cas analysé, des scripts provenant de thestayreserve[.]com a contacté checkpulses[.]com pour récupérer les fichiers détaillés dans le tableau 4.

Table 4: Noms de fichiers et hachages SHA256 des fichiers téléchargés à partir de checkpulses[.]com (sources : Recorded Future)

L'utilitaire 7z.exe est utilisé pour extraire at.7z, qui contient le binaire NetSupport RAT neservice.exe. La persistance est établie en ajoutant un lien au dossier de démarrage du système.

Les domaines observés dans cette grappe utilisent un modèle de commande PowerShell similaire. Cependant, une fois la commande exécutée, la chaîne d'infection varie légèrement en fonction de l'infrastructure de stockage appelée. Dans le cas de sign-in-op-token[.]com et de thestayreserve[.]com la commande malveillante est identique en termes de modèle et d'organisation, mais le domaine dropper codé en dur est bkng-updt[.]com. et checkpulses[.]com, respectivement.

Bien que les domaines d'étape varient, les charges utiles finales de ce groupe convergent vers la même infrastructure C2 de la RAT de NetSupport(tableau 5).

Table 5: IoCs observés dans la chaîne d'infection de Booking.com (sources : Recorded Future)

Après l'installation, le logiciel malveillant de thestayreserve[.]com établit une communication(figure 10) avec chrm-srv[.]com et ms-scedg[.]com, qui se résolvent toutes deux à 152[.]89[.]244[.]70. Le domaine hotelupdatesys[.]com Le RAT C2 de NetSupport pour sign-in-op-token[.]com se résout à la même adresse IP.

Groupe 3 : Oeil de bœuf

La grappe 3 a été observée en fonctionnement de mai 2024 jusqu'au moment de la rédaction du présent document. Précédemment signalé par Insikt Group, ce groupe utilise une infrastructure centrée sur des domaines incorporant le mot-clé "bird" pour diffuser ses pages de leurre ClickFix, repérables dans l'analyse du contenu HTML de Recorded Future. Ces leurres usurpent l'identité de Birdeye, une société de marketing AI, pour manipuler les victimes afin qu'elles exécutent des commandes malveillantes.

Profil du groupe 3

Chaîne d'infection du groupe 3

La chaîne d'infection commence lorsqu'une victime visite un site compromis et se voit proposer un défi CAPTCHA de type Cloudflare. Lorsqu'elle interagit avec la page, la victime est invitée à exécuter une commande dans la boîte de dialogue Exécuter de Windows. Insikt Group a identifié ce groupe en s'appuyant sur des identifiants techniques uniques dans les artefacts HTML, notamment un titre de page unique et cohérent et une image statique utilisée dans l'ensemble de l'infrastructure.

La commande que la victime est manipulée pour exécuter fait en sorte que l'appareil de la victime se connecte à alabababa[.]cloud pour télécharger une charge utile à partir de hxxps[://]alabababa[.]cloud/cVGvQio6[.]txt. Pour réduire encore les soupçons, une fois la commande malveillante exécutée, la victime est redirigée vers le site web légitime birdeye.com (voir la figure 12).

L'analyse du JavaScript dans le DOM pour ce groupe, fournie à l'annexe F, a révélé des informations sur les méthodes du site acteur malveillant. Une partie importante du script utilise sept lignes obscurcies qui sont concaténées en une seule chaîne à attacher au presse-papiers de la victime. Le développeur a laissé des commentaires dans le code qui détaillent l'objectif désobfusqué de chaque ligne. Par exemple, un commentaire identifie explicitement la partie de la commande qui appelle PowerShell avec des drapeaux spécifiques(Figure 13).

De plus, un commentaire écrit en cyrillique au début du script se traduit par ". Cela devrait permettre de contourner l'analyse statique de Cloudflare". Cette documentation interne suggère que le site acteur malveillant détaille délibérément ses actions pour affiner le contournement de TTPs contre les scanners de sécurité.

Historiquement, alabababa[.]cloud a été associé à la diffusion de plusieurs souches de logiciels malveillants, dont Lumma Stealer et RedLine Stealer. Le grand nombre de domaines identifiés dans ce groupe, dépassant 40 entrées uniques, met en évidence l'ampleur du modèle "run and repeat" utilisé pour soutenir cette activité.

Groupe 4 : sélection d'une double plate-forme

La grappe 4 a été observée en fonctionnement de mars 2025 à la date de rédaction du présent document. Cette grappe est unique en raison de son utilisation de la détection du système d'exploitation pour fournir des leurres ClickFix sur mesure pour les utilisateurs de Windows et de macOS. Contrairement au comportement standard de ClickFix qui pousse généralement les commandes vers le presse-papiers de manière automatique, cette variante fournit des instructions manuelles détaillées, exigeant de la victime qu'elle ouvre des outils système natifs et qu'elle copie et colle manuellement la charge utile de mise en scène fournie. L'une des pages ClickFix utilisées pour analyser ce comportement était macosapp-apple[.]com, hébergé à l'adresse IP 45[.]144[.]233[.]192.

Profil du groupe 4

Chaîne d'infection du groupe 4

La chaîne d'infection commence lorsqu'une victime arrive sur une page ClickFix qui lui demande de vérifier qu'elle est bien un être humain(figure 15).

Une fois le terminal ouvert, la victime est invitée à exécuter une commande en plusieurs étapes qui est censée "trouver et supprimer les fichiers système temporaires".

En réalité, ces commandes (voir tableau 9) utilisent différentes couches de codage pour cacher leur véritable intention ; le premier exemple décode une chaîne hexadécimale pour révéler une instruction d'URL client (curl) codée en Base64, tandis que le second décode directement une chaîne Base64 pour exécuter une commande exécutable. Ces deux méthodes permettent en fin de compte de contourner le simple filtrage en obscurcissant la charge utile malveillante jusqu'à son exécution.

Comme le montre le tableau 10, l'instruction curl révélée utilise un ensemble composé d'arguments, dans ce groupe, -kfsSL, pour faciliter la livraison silencieuse. Ces drapeaux garantissent que les contrôles des certificats TLS (Transport Layer Security) sont contournés, que les erreurs côté serveur sont supprimées et que le processus reste caché à l'utilisateur pendant qu'il suit des redirections pour atteindre le domaine de la charge utile finale.

Sur la base de preuves historiques(1, 2) et de modèles médico-légaux, l'Insikt Group estime avec une grande confiance que le voleur d'informations MacSync a été la principale charge utile utilisée pour infecter les victimes de ce groupe. Les commandes malveillantes contenues dans ces pages ont permis aux systèmes infectés d'accéder à un ensemble spécifique d'infrastructures de transit et de C2, détaillées dans le tableau 11. Notamment, si les domaines varient, ils sont souvent observés derrière Cloudflare pour compliquer le blocage au niveau du réseau.

Tableau 11: Serveurs C2 identifiés pour le nettoyeur macOS Campagne (sources : Recorded Future)

Analyse de la commande de copie

Insikt Group a analysé les commandes dans les cinq groupes identifiés dans cette recherche. Si les appâts visuels et les marques usurpées varient entre des groupes comme le groupe 1 (Intuit QuickBooks) et le groupe 5 (macOS Storage Cleaning), la logique d'exécution sous-jacente reste cohérente. Cette méthodologie ", qui consiste à exécuter et répéter", s'appuie sur un ensemble restreint de LOLBins de confiance et sur un obscurcissement léger pour mettre en scène le code distant avec un minimum d'artefacts médico-légaux.

La mise en œuvre technique de ClickFix suit un schéma standardisé en quatre étapes pour tous les systèmes d'exploitation cibles, comme le résume le tableau 12.

Tableau 12: Modèle d'exécution standardisé de ClickFix en quatre étapes (sources : Recorded Future)

Insikt Group a identifié deux styles de commande principaux utilisés dans les sites Campagne centrés sur macOS, tels que Cluster 4 et Cluster 5, qui sont détaillés dans le tableau 13.

Tableau 13: Tactiques observées, TTPs, TTPs (TTPs) pour macOS et Linux (zsh et bash) (sources : Recorded Future)

Les commandes basées sur Windows, en particulier celles observées dans les groupes 1 et 2, présentent un degré de sophistication plus élevé grâce à "Command Swizzling" et à la randomisation des cas, comme le montre le tableau 14.

Tableau 14: TTPs observé pour les commandes Windows (PowerShell) (sources : Recorded Future)

Mitigations

Pour atténuer les menaces posées par l'ingénierie sociale de ClickFix et les activités connexes de "living-off-the-land" (LotL) TTPs, Insikt Group recommande une approche de défense en profondeur qui combine une surveillance proactive des renseignements et un durcissement agressif des utilitaires du système natif.

• Opérationnaliser l'analyse du contenu HTML : les clients de Recorded Future devraient utiliser les sources d'analyse du contenu HTML pour surveiller les usurpations d'identité de leur marque, qui sont exploitées pour fournir ClickFix. Utilisez la plate-forme Recorded Future Intelligence Operations Platform pour surveiller les artefacts Web uniques, tels que les hachages DOM (Document Object Model) et les titres de page, afin d'identifier les nouveaux domaines ClickFix en temps réel.
• Utilisation Recorded Future renseignement sur les menaces: Les clients de Recorded Future peuvent atténuer cette menace de manière proactive en exploitant les données de Recorded Future Intelligence Operations Platform, en particulier en exploitant les listes de risques continuellement mises à jour et en bloquant les adresses IP et les domaines associés à ClickFix afin de bloquer la communication avec l'infrastructure malveillante.
• Surveillez les listes de risques des infrastructures malveillantes : Mettez continuellement à jour les outils de gestion des informations et des événements de sécurité (SIEM) et de détection et de réponse des points d'extrémité (EDR) avec les listes de risques du site Recorded Future afin de bloquer le trafic vers les domaines d'étape et de commandement et de contrôle (C2) identifiés.
• Utilisez les renseignements sur les logiciels malveillants: Exploitez la plate-forme opérationnelle de renseignement de Recorded Future pour rechercher les indicateurs de compromission (IoC) associés aux charges utiles identifiées dans ce rapport, telles que NetSupport RAT, Odyssey Stealer et Lumma Stealer.
• Tirez parti de Network Intelligence: Utilisez Recorded Future Network Intelligence pour détecter rapidement les événements d'exfiltration (tels que ceux liés au RAT NetSupport), ce qui peut aider à prévenir les intrusions avant qu'elles ne prennent de l'ampleur. Cette approche repose sur la découverte complète et proactive de l'infrastructure fournie par Insikt Group et sur l'analyse de vastes quantités de trafic réseau.
• Utilisez le module d'identité: les clients de Recorded Future devraient utiliser le module d'identité pour surveiller les Identifiants et les mots de passe vendus sur dark web qui ont été volés par des voleurs d'informations.
• Désactivez la boîte de dialogue d'exécution de Windows via les objets de stratégie de groupe (GPO): Pour les environnements d'entreprise, désactivez le raccourci clavier Win+R et la commande Exécuter dans le menu Démarrer via les objets de stratégie de groupe (GPO). Cela entrave considérablement la chaîne d'exécution de ClickFix, car les victimes sont généralement invitées à coller des commandes malveillantes directement dans cette boîte de dialogue.
• Restreindre l'exécution du terminal et de PowerShell: Mettez en œuvre le mode de langage contraint (CLM) de PowerShell et utilisez AppLocker ou Windows Defender Application Control (WDAC) pour empêcher l'exécution de scripts non attribués et l'utilisation abusive de fichiers binaires "living-off-the-land" (LOLBins). Sur macOS, limitez l'utilisation de Terminal et d'autres interpréteurs de commandes (par exemple, zsh et bash) à l'aide de stratégies de contrôle des applications appliquées via la gestion des appareils mobiles (MDM), et tirez parti de la protection de l'intégrité du système (SIP) et des contrôles de sécurité des terminaux pour limiter l'exécution non autorisée de scripts et l'utilisation abusive d'utilitaires de ligne de commande natifs.
• Sensibilisation et formation des utilisateurs: Réalisez des simulations d'ingénierie sociale ciblées qui sensibilisent spécifiquement les utilisateurs aux dangers de la vérification manuelle sur "." invite à copier et coller des commandes dans les utilitaires du système.

Outlook

L'identification de cinq groupes opérationnels parallèles ciblant divers secteurs, notamment la comptabilité, les voyages, l'immobilier et les services juridiques, indique que la méthode ClickFix est passée d'une niche TTPs à un modèle normalisé au sein de l'écosystème cybercriminel. Ce modèle normalisé "run and repeat" facilite une adoption plus large par les trafiquants de niveau inférieur "" et les groupes sophistiqués de menaces persistantes avancées (APT). acteur malveillant sont en mesure de maintenir la continuité opérationnelle même lorsque des domaines individuels sont bloqués, grâce à la disponibilité d'une infrastructure jetable et de modèles techniques partagés.

Insikt Group évalue avec un degré de confiance élevé que la méthode ClickFix restera très probablement un vecteur d'accès initial très utilisé tout au long de l'année 2026. Le succès continu de ClickFix est dû à sa capacité à contourner les contrôles de sécurité avancés basés sur le navigateur en déplaçant le point d'exploitation vers des actions manuelles assistées par l'utilisateur. Tant que les utilitaires système natifs tels que PowerShell et Terminal resteront accessibles aux utilisateurs finaux, ClickFix continuera d'offrir à acteur malveillant une alternative à haut rendement et à faible complexité aux kits d'exploitation traditionnels.

À l'avenir, les leurres ClickFix deviendront probablement de plus en plus adaptables sur le plan technique. Les prochaines versions devraient intégrer des empreintes digitales plus granulaires du navigateur afin de servir des charges utiles de manière conditionnelle en fonction du matériel, de l'emplacement géographique ou du profil organisationnel de la victime. En outre, étant donné que acteur malveillant documente déjà délibérément le contournement TTPs des moteurs d'analyse statique dans son code, Insikt Group prévoit une tendance à long terme vers des environnements de mise à disposition plus résilients et obscurcis. Cette convergence d'ingénierie sociale sophistiquée et de LotL TTPs nécessite un changement de stratégie défensive, s'éloignant du simple blocage d'indicateur pour aller vers un durcissement comportemental agressif des utilitaires du système sur lesquels ClickFix s'appuie.

Annexe A : Indicateurs de compromission

Annexe B : Groupe 1 - Indicateurs Intuit QuickBooks

Appendix C: bibi.php Script

Annexe D : Groupe 2 - Indicateurs de Booking.com

Annexe E : Groupe 3 - Indicateurs Birdeye

Annexe F : Javascript de la grappe de Birdeye

Annexe G : Groupe 4 - Indicateurs de sélection de la double plate-forme

Annexe H : Groupe 5 - Indicateurs de nettoyage du stockage macOS

Annexe I : MITRE ATT&CK TTPs