ナッシム

🚨 ClickFix revient… en version sournoise ... les acteurs de la menace n’ont aucune limite quand il s’agit de contourner les défenses. 🎯 Après la vague de payloads via Win+R, bloqués par de nombreuses entreprises , une nouvelle méthode fait surface : Le ClickFix par le menu Win+X. 💀 C'est une technique de social engineering très efficace : on vous incite à ouvrir la fenêtre "Exécuter" de Windows (via Win+R), à y coller une commande malveillante (souvent un script PowerShell PowerShell), puis à l'exécuter en vous faisant croire que vous réparez un problème. Simple, rapide, et dévastateur. 💀 La nouvelle variante qui change la donne; Les attaquants savent que Win+R est de plus en plus surveillé. Leur nouveau mode opératoire est tout aussi simple, mais il contourne les blocages classiques : - Exit le Win+R, bonjour le menu "Power User" avec le raccourci Win+X. - L'attaquant vous guide pour ouvrir un terminal PowerShell (souvent avec les droits admin, tant qu'à faire). - Il ne vous reste plus qu'à y coller la commande malveillante. Le piège se referme. 👇Le screen montre un payload Lumma Stealer qui force l’élévation de privilèges (ça boucle sur l'elevate jusqu'à ce que le user valide), désactive la détection sur %temp% (exclusion defender) et s’exécute silencieusement en contournant les protections. Comment on se défend : 🛡️ La sensibilisation des utilisateurs n'est pas une option. Ils doivent savoir qu'on ne copie-colle JAMAIS une commande venue d'une source non fiable. 👀 La surveillance des processus PowerShell est cruciale. Un utilisateur lambda qui lance un script obfusqué ? Alerte rouge ! Et limite j'ai envie de dire... bloquer le PS sur les workstations sauf équipe IT (si aplicable). 💻 Un EDR/XDR bien configuré est votre meilleur allié pour détecter ces comportements anormaux avant qu'il ne soit trop tard. Credit screen : Ayush Anand