Un nouvel outil de diffusion de logiciels malveillants fait le tour des forums clandestins. Les cybercriminels peuvent désormais le louer facilement. Cette menace cible spécifiquement les ordinateurs Windows. Son astuce principale consiste à passer vos défenses sans déclencher de signal d'alarme.
Le vendeur fait la promotion de ClickFix comme moyen d’infecter les machines en toute discrétion. "Cela contourne les signaux d'alarme habituels", affirme la publicité. "Pas de téléchargements de fichiers volumineux ni d'appels réseau étranges que les logiciels de sécurité adorent détecter." Au lieu de cela, cet outil incite les utilisateurs à exécuter un faux correctif de navigateur.
Une fois que quelqu'un clique, la charge utile s'installe dans le cache du navigateur. La plupart des analyses antivirus négligent cet endroit. A partir de là, c'estutilise l'explorateur de fichiers cachéscommandes pour lancer le malware. Tout semble innocent, comme si une maintenance de routine du navigateur avait lieu.
Les attaquants ciblent le stockage du navigateur pour échapper à la détection
Les experts avertissent que cette approche correspond à une tendance croissante. Les acteurs malveillants optent de plus en plus pour le stockage du navigateur, car celui-ci fonctionne comme un espace temporaire et géré par l'utilisateur. Les dossiers de cache stockent des données Web telles que des images et des scripts. Cependant, les outils de sécurité ne les verrouillent pas comme les fichiers programme.
Les outils EDR ignorent souvent les dossiers de cache lors des analyses. Ils supposent que ces répertoires contiennent des restes inoffensifs des sessions de navigation. "ClickFix exploite parfaitement cet angle mort", notent les chercheurs en sécurité. "Cela rend l'outil idéal pour les exercices de l'équipe rouge ou les attaques réelles."
ClickFix commence parun leurre de phishing. Les victimes reçoivent un e-mail ou un lien affirmant que leur navigateur a besoin d'une mise à jour rapide. Ils voient une fenêtre contextuelle ou un raccourci intitulé « Cliquez pour corriger l'erreur de cache ». Lorsque les utilisateurs cliquent dessus, un script s'exécute en arrière-plan.
Le script récupère une petite charge utile codée provenant d'un site qui semble légitime. Rien ne dépasse quelques kilo-octets, donc cela ne déclenche pas les moniteurs réseau. La véritable action se produit ensuite. Le script décode la charge utile et la dépose dans le répertoire de cache du navigateur. Sous Windows, il peut s'agir du dossier User Data/Default/Cache de Chrome.
Le malware renomme le fichier pour imiter une vignette ou un fichier temporaire. Des noms tels que « cache_001.dat » l'aident à s'intégrer. Aucune écriture dans les dossiers système ne se produit. Aucune modification du registre ne se produit qui pourrait signaler un malware.
Comment ClickFix s'exécute sans déclencher d'alarmes
Pour exécuter, ClickFix crée une commande déguisée pour l'Explorateur de fichiers. Quelque chose comme «explorer.exe /root,CacheFolder:RunPayload» se fond dans l'activité normale de l'Explorateur. Cela contourne les règles de comportement dans des outils comme CrowdStrike ou Microsoft Defender.
Selon Dark Web Informer, le malware peut tout faire une fois exécuté. « Volez des données, déployez un ransomware ou configurez une porte dérobée », confirment les chercheurs. Le vendeur revendique le statut de preuve EDR car les chaînes d'outils sont des processus de courte durée. Chaque étape ne dure que quelques secondes, sous le radar des analyses de mémoire ou des arborescences de processus.
Cette capacité polyvalente reflète les tactiques de groupes sophistiqués parrainés par l'État, tels que leLazarus Group, déploie un malware macOS pour cibler les ingénieurs blockchain, démontrant que qu’il s’agisse de cybercriminels louant des outils sur des forums ou d’États-nations menant de l’espionnage, l’objectif est le même : une infiltration silencieuse pour un maximum de dégâts.
Les chercheurs ont testé un échantillon et ont confirmé qu’il échappait aux signatures de base. Cependant, des analyses comportementales avancées pourraient détecter les abus d’Explorer si les défenseurs ajustent correctement leurs systèmes.
Les messages du forum sur des sites comme Exploit.in ou BreachForums présentaient la publicité la semaine dernière. Une vidéo de démonstration le montre en train d'infecter une machine virtuelle sans déclencher d'alerte.
Détails de la vente et recommandations de défense
Le package complet coûte 300 $ en crypto-monnaie. Les acheteurs reçoivent le code source en JavaScript et PowerShell, une interface graphique de création, un guide de configuration et un modèle prêt pour les leurres. "Pour 200 $ de plus, nous personnalisons la page de phishing pour qu'elle corresponde à des marques comme Google ou Microsoft", annonce le vendeur. La livraison s'effectue instantanément via des liens cryptés, avec des mises à jour à vie promises.
Cette évolution a un réel poids. Des attaques similaires basées sur le cache, comme les variantes Magecart 2025, masquaient les skimmers de paiement dans le stockage du navigateur. L'expert en sécurité Brian Krebs a largement couvert ces incidents. À mesure que les navigateurs renforcent leur sandboxing, les abus de cache vont probablement augmenter.
Les organisations doivent maintenant analyser les dossiers de cache dans les règles EDR. Ils doivent bloquer les arguments inhabituels de l’Explorateur et former les utilisateurs aux fausses escroqueries. Les défenseurs doivent agir rapidement en mettant à jour les politiques du navigateur pour vider le cache à la sortie. Ils doivent surveiller de près l’activité PowerShell dans les navigateurs.
Les chasseurs de menaces doivent rechercher des anomalies dans les fichiers correspondant à des modèles tels que « cache_*.dat » dans les répertoires du navigateur. Cette astuce low-tech prouve que les courses aux armements pour évasion ne finissent jamais vraiment. Les outils changent ; cependant, la lutte du chat et de la souris entre les mauvais acteurs et les défenseurs perdure.
Pour l’utilisateur moyen, la meilleure défense est une bonne attaque, à commencer par un navigateur conçu pour garantir la confidentialité et la sécurité. Vérifiernotre liste des navigateurs les plus sécuriséspour la navigation privée afin de voir quelles options offrent la protection la plus solide contre les logiciels malveillants basés sur le cache comme ClickFix.