Nostr notes by :mastodon: decio

Go home ClickFix, your are drunk ! :ablobspin: *"The Lures: ...

2025-12-29T15:19:41Z

In reply to nevent1q…dkys
_________________________

Go home ClickFix, your are drunk ! :ablobspin:

*"The Lures: Visual Deception
ErrTraffic distinguishes itself through its visual payloads. It modifies the DOM of the webpage to create chaos."*
👇
https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/

#ClickFix

[ 🧰 Tool] #ClickFix Hunter by https://github.com/cdup07 ...

2025-12-18T11:16:50Z

In reply to nevent1q…35at
_________________________

[ 🧰 Tool]

#ClickFix Hunter
by
https://github.com/cdup07

"This site showcases collected ClickFix domains, complete with before & after screenshots and the malicious clipboard commands attackers attempt to trick users into running."
👀
👇
https://clickfix.carsonww.com/

#CyberVeille #outils #infosec

La nouvelle variante avec les fausses mises à jour Windows ...

2025-11-25T07:31:16Z

In reply to nevent1q…694e
_________________________

La nouvelle variante avec les fausses mises à jour Windows observée par Andrea Draghetti 🎣 (npub1w3s…lftm) a été analysée par Huntress.

A part la nouvelle leurre en scénographie de "mise à jour", il y a de la créativité (diversification évasive) aussi dans le déroulement avec de la sténographie pour la récupération du Loader
⬇️
"ClickFix Gets Creative: Malware Buried in Images"
👇
https://www.huntress.com/blog/clickfix-malware-buried-in-images

Dans les news #Infosec
⬇️
"ClickFix attack uses fake Windows Update screen to push malware"
👇
https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/

#CyberVeille #ClickFix
Fix

Que la technique clickfix soit désormais l’une des ...

2025-11-16T10:59:22Z

In reply to nevent1q…uk06
_________________________

Que la technique **clickfix** soit désormais l’une des préférées des acteurs malveillants pour obtenir le premier accès, c’est plus que confirmé. Leur imagination et leur investissement pour construire le leurre, autant sur le plan de l’ingénierie sociale que sur le plan technique, ne cessent de se diversifier.

Dans mes lectures récentes, j’ai vu passer deux cas assez exemplaires.

D’abord, une variante de clickfix dont la scénographie graphique repose sur de faux écrans de mise à jour Windows pour mettre la pression sur l’utilisateur: un classique, mais remis au goût du jour de manière particulièrement convaincante.
⬇️
Trouvé et publié par le chercheur Andrea Draghetti 🎣 (npub1w3s…lftm) (video inside) :
👇 https://www.linkedin.com/posts/andreadraghetti_threatintelligence-malware-clickfix-activity-7394764793380864000-u34n

Et côté technique… je dois avouer que je n’avais pas imaginé que le bon vieux *finger* puisse être détourné comme lolbin ...windows pour récupérer la charge active. 🙃
⬇️
"Decades-old ‘Finger’ protocol abused in ClickFix malware attacks"
👇
https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/

Encore une bizarrerie de plus à garder sous monitoring, côté blue de la Force.

Le navigateur web est en train de devenir la surface névralgique d’entrée : capacités et permissions étendues, perception de confiance côté utilisateur, plugins, et rôle central dans le travail quotidien.

#CyberVeille #clickfix

WOW 😳 ici, beaucoup d’investissement dans le look & feel ...

2025-11-08T14:38:24Z

In reply to nevent1q…6ezn
_________________________

WOW 😳 ici, beaucoup d’investissement dans le look & feel du faux captcha "CloudFlare"

Les acteurs malveillants continuent à peaufiner leurs leurres psychologiques pour bypasser les sécurités système et l’intuition utilisateur.
On voit clairement l’évolution du social engineering appliqué au clic « anodin ».
⬇️
"The most advanced ClickFix yet?"
👇
https://pushsecurity.com/blog/the-most-advanced-clickfix-yet/

#CyberVeille #clickfix

👍 thx the 2nd proof link https://archive.ph/WqCdu ...

2025-10-02T12:32:41Z

In reply to nevent1q…37cq
_________________________

👍 thx

the 2nd proof link https://archive.ph/WqCdu

Sending a small contribution, along with heartfelt thoughts for ...

2025-06-26T13:28:44Z

In reply to nevent1q…k2nr
_________________________

Sending a small contribution, along with heartfelt thoughts for your brother and his family.
Wishing you all the best in this difficult time.

[related] ClickFix : Une Technique d'Ingénierie Sociale en ...

2025-03-14T16:17:17Z

In reply to nevent1q…vkeh
_________________________

[related]

ClickFix : Une Technique d'Ingénierie Sociale en Pleine Expansion<li>ClickFix est une technique d'ingénierie sociale qui piège les utilisateurs en les incitant à exécuter des commandes PowerShell malveillantes, automatiquement copiées dans leur presse-papiers.</li><li>Observée pour la première fois en octobre 2023, cette méthode a connu une adoption mondiale significative vers la fin de l'année 2024.</li><li>Elle repose principalement sur des pages factices de reCAPTCHA et des faux messages de protection contre les bots pour tromper les victimes.</li><li>Lumma est le voleur d'informations (infostealer) le plus fréquemment distribué via les campagnes analysées. </li><li>L'efficacité de cette technique a même conduit certains groupes APT (Advanced Persistent Threat) parrainés par des États à l'adopter.</li>

source
"ClickFix: The Social Engineering Technique Hackers Use to Manipulate Victims"
👇
https://www.group-ib.com/blog/clickfix-the-social-engineering-technique-hackers-use-to-manipulate-victims/

#ClickFix #CyberVeille

et un autre exemple très parlant de cette technique ClickFix ...

2025-03-05T14:54:20Z

In reply to nevent1q…7k5z
_________________________

et un autre exemple très parlant de cette technique ClickFix déployée pour inciter le personnel des hôtel à installer un logiciel malveillant sur leur poste administratif dans la chaine d'attaque visant les clients booking
⬇️
"Les hôtels et leur clientèle, des cibles de choix pour les cybercriminels"
👇
https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_9.html

#CyberVeille #ClickFix

Tiens, encore une campagne, détectée et documentée par ...

2025-03-04T08:07:37Z

In reply to nevent1q…ylj9
_________________________

Tiens, encore une campagne, détectée et documentée par Fortinet, exploitant cette technique d'’ingénierie sociale, nommée ClickFix.
⬇️
Cette fois, l’attaque repose sur un faux message d’erreur généré via une pièce jointe HTML, incitant l’utilisateur à copier-coller un script dans son terminal.

L' affichage initial est pour l'instant moins convaincant, mais l'enchaînement est sophistiqué et dangereux.

L’attaque commence par un email piégé avec une pièce jointe HTML exploitant ClickFix. Ce fichier affiche un faux message d’erreur et demande à l’utilisateur de copier-coller un script PowerShell dans son terminal.

Une fois exécuté, le script télécharge un autre fichier hébergé sur SharePoint, contrôlé par l’attaquant. Ce fichier contient un script malveillant dont Fortinet a constaté que les messages de debug sont écrits en russe, ce qui donne un indice sur l’origine de l’attaque.

Ce fichier lance ensuite une chaîne d’infection furtive :
✔️ Il commence par analyser l’environnement pour éviter d’être détecté dans un bac à sable.
✔️ Si nécessaire, il installe Python discrètement pour exécuter du code malveillant.
✔️ Enfin, un script Python se charge d’injecter un shellcode conçu pour prendre le contrôle de l’ordinateur infecté.

C’est à ce stade qu’entre en jeu un puissant outil de cyberattaque red team open source : Havoc Demon. Il s’agit d’un framework utilisé pour prendre le contrôle complet de la machine infectée et lui envoyer des commandes à distance. Les attaquants ont ici modifié Havoc Demon pour le rendre plus discret et ont utilisé Microsoft Graph API afin de masquer les échanges entre la victime et leur serveur de contrôle.

Au lieu d’utiliser un serveur C2 classique, les attaquants ont modifié Havoc pour cacher leurs communications dans SharePoint, un service Microsoft largement utilisé en entreprise. Deux fichiers spécifiques servent à transmettre leurs commandes :<li> {VictimID}pD9-tKout → Envoi des requêtes</li><li>{VictimID}pD9-tKin → Réception des commandes</li>

Ces fichiers sont chiffrés en AES-256 pour échapper aux analyses et manipulés discrètement via l’API Microsoft Graph avec des requêtes POST et GET.
⬇️
"Havoc: SharePoint with Microsoft Graph API turns into FUD C2"
👇
https://www.fortinet.com/blog/threat-research/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2

(Images tirées de l'article de Fortinet)

⚠️ Même système d’ingénierie sociale, encore plus simple ...

2025-02-12T15:38:59Z

In reply to nevent1q…u4dr
_________________________

⚠️ Même système d’ingénierie sociale, encore plus simple dans l’environnement macOS

Au lieu d’un copier-coller d’une commande malveillante, cette attaque exploite une manipulation bien connue des utilisateurs Mac : le glisser-déposer utilisé habituellement pour installer des applications.

Dans ce cas, un script malveillant est déguisé en application Microsoft Teams. L’utilisateur est incité à le glisser dans le Terminal pour l’exécuter, pensant suivre une procédure d’installation classique.

( via Will Dormann (npub12xh…zxeq) & JAMESWT_MHT on the bad site)

👀
⬇️
https://www.virustotal.com/gui/file/dd8bd825fd2149b027cadb38cbc53e0fc818c4cebf7f7792d8c541928464a751/behavior

🦠
⬇️
https://bazaar.abuse.ch/sample/dd8bd825fd2149b027cadb38cbc53e0fc818c4cebf7f7792d8c541928464a751/

#cCyberVeille #clickfix #macos

et ça continue... Variante exploitant les services de campagnes ...

2024-12-16T20:10:32Z

In reply to nevent1q…dyye
_________________________

et ça continue...

Variante exploitant les services de campagnes publicitaires en ligne pour balancer des pages ClickFix lors de la navigation

Une campagne de malvertising de type "ClickFix", nommée "DeceptionAds", exploite le réseau publicitaire légitime Monetag pour rediriger les internautes vers de fausses pages CAPTCHA. Ces dernières incitent les victimes à exécuter manuellement une commande PowerShell malveillante, installant toujours et encore, le malware Lumma Stealer. Bien que l’opération ait été interrompue, les attaquants ont tenté de reprendre leurs activités via d’autres réseaux publicitaires.
⬇️
“DeceptionAds” — Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of Internet Advertising"
👇
https://labs.guard.io/deceptionads-fake-captcha-driving-infostealer-infections-and-a-glimpse-to-the-dark-side-of-0c516f4dc0b6

[dans les news infosec]
⬇️
Malicious ads push Lumma infostealer via fake CAPTCHA pages
👇
https://www.bleepingcomputer.com/news/security/malicious-ads-push-lumma-infostealer-via-fake-captcha-pages/

#CyberVeille #Clickfix #LummaStealer

Workflow d’une campagne d'ingénierie sociale ...

2024-12-12T13:31:47Z

In reply to nevent1q…sfnn
_________________________

Workflow d’une campagne d'ingénierie sociale "ClickFix", distribuant le malware Emmenhtal ( 🧀 ainsi nommé par Orange Cyberdefense :) https://www.orangecyberdefense.com/global/blog/cert-news/emmenhtal-a-little-known-loader-distributing-commodity-infostealers-worldwide ) → Déploie Lumma Stealer

1️⃣ WordPress compromis : injection d’un JS obfusqué ( https://urlscan.io/search/#filename%3A%22%2Frecaptcha%2Fabout%2Fimages%2FreCAPTCHA-logo%22 ) pour afficher un faux CAPTCHA uniquement pour les visiteurs Windows.

2️⃣ Leurrer l’utilisateur : le faux CAPTCHA les incite à copier-coller un code PowerShell.

3️⃣ Utilisation d’un LOLBIN : ce code utilise l’utilitaire natif mshta.exe pour "jouer" une fausse vidéo ( https://www.virustotal.com/gui/file/74f22344728037b80b1b49340e3bcd3abd5a9abc89a36169ed59d9c674da49f2/content ) via une URL.

4️⃣ Payload en arrière-plan : en douce, le code exécute le malware deobfusqué via padding. 🎯

https://app.any.run/tasks/ece5a78a-fcca-4a38-882a-5b15780cfd53

https://any.run/report/9e4edd0173059d3083b1ccde61e43d9db59cb58fc566f0f84778ee5ec844e515/ece5a78a-fcca-4a38-882a-5b15780cfd53

#CyberVeille #ClickFix

et voilà , trend observé et confirmé aussi en 🇨🇭 par ...

2024-11-13T10:10:02Z

In reply to nevent1q…pgmk
_________________________

et voilà , trend observé et confirmé aussi en 🇨🇭 par notre Office fédéral de la cybersécurité
⬇️
"La semaine dernière, l’OFCS a reçu une avalanche de signalements concernant des pages web compromises, destinées à faire croire aux internautes qu’il fallait mettre à jour le navigateur ou résoudre un #CAPTCHA. Le but est d’infecter les appareils des victimes par des maliciels."
⬇️
"Semaine 45 : Comment les pirates tentent de répandre des maliciels au moyen de CAPTCHA frauduleux et de prétendues mises à jour"
👇
https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2024/wochenrueckblick_45.html

#CyberVeille #clickfix #Suisse

Hélas, cette technique d'ingénierie sociale, ClickFix, qui ...

2024-11-10T13:40:05Z

In reply to nevent1q…jpx7
_________________________

Hélas, cette technique d'ingénierie sociale, ClickFix, qui pousse les utilisateurs à copier-coller des commandes, fonctionne. Dernièrement, on recense plusieurs signalements dans les forums et auprès des centres de compétence en cybersécurité.
👇
https://infosec.exchange/@malmoeb/113458752985336077

Confirmé par des chercheurs spécialisés en malware, cette méthode est de plus en plus utilisée par divers acteurs malveillants pour initier le premier stade de compromission.
👇
https://ioc.exchange/@ineiti/113436360526528208

click click click 🕹️ 😁 ...

2024-11-02T17:26:34Z

In reply to nevent1q…28v9
_________________________

click click click 🕹️ 😁

It's mind-blowing that in 2024, I'm kicking back with a ...

2024-11-02T17:20:22Z

It's mind-blowing that in 2024, I'm kicking back with a brand-new, top-tier game on my Amiga500! Roguecraft is an insanely well-crafted isometric roguelike, complete with procedurally generated levels and an epic soundtrack. 👾
🕹️
👇
https://thalamusdigital.itch.io/roguecraft
👇
https://www.badgerpunch.com/title/roguecraft/

#RetroGaming
#Amiga
#Amiga500

Attention à cette technique ( dite ClickFix ) qui fait fureur ...

2024-10-30T13:33:20Z

Attention à cette technique ( dite ClickFix ) qui fait fureur actuellement chez les cybercriminels : elle vise à pousser l'utilisateur à copier-coller un script pour soi-disant résoudre un problème.

⚠️ Méfiez-vous si l’on vous demande d’exécuter quelque chose pour résoudre un CAPTCHA ou un autre type de problème technique.

Exemple d'impact :

"Des milliers de sites WordPress piratés diffusent de fausses mises à jour de Chrome"
"Les campagnes ClickFix battent leur plein depuis un an environ, sans aucun signe d’essoufflement."
👇
https://www.clubic.com/actualite-541283-des-milliers-de-sites-wordpress-pirates-diffusent-de-fausses-mises-a-jour-de-chrome.html

Analyses infosec :

"Behind the CAPTCHA: A Clever Gateway of Malware"
👇
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/behind-the-captcha-a-clever-gateway-of-malware/

"Unmasking Lumma Stealer: Analyzing Deceptive Tactics with Fake CAPTCHA"
👇
https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

ClickFix tactic: The Phantom Meet
👇
https://blog.sekoia.io/clickfix-tactic-the-phantom-meet/

#CyberVeille #clickfix #CAPTCHA