Le groupe de ransomware LeakNet adopte désormais la technique ClickFix pour accéder aux environnements d’entreprise, tout en utilisant un chargeur de malware s’appuyant sur le runtime Deno, une solution open-source pour JavaScript et TypeScript.
Ce groupe utilise Deno pour décoder et exécuter une charge utile malveillante directement dans la mémoire système, ce qui réduit les preuves forensiques sur le disque et diminue les risques de détection.
LeakNet est une menace relativement récente sur le terrain des ransomwares, opérant depuis fin 2024. En moyenne, ce groupe cible autour de trois victimes par mois, bien que cette opération puisse augmenter avec l’adoption de nouvelles tactiques.
La méthode ClickFix est un type d’attaque par ingénierie sociale qui incite les utilisateurs à exécuter des commandes malveillantes via de fausses invites. Cette technique a également été exploitée par d’autres groupes de ransomwares, tels que Termite et Interlock.
Dans le cadre de LeakNet, le leurre ClickFix permet de déployer un chargeur basé sur Deno, qui exécute un code JavaScript en mémoire.
Source: ReliaQuest
Les chercheurs de ReliaQuest désignent cette tactique comme une attaque de type bring your own runtime (BYOR), étant donné que Deno est un exécutable JavaScript/TypeScript légitime capable d’exécuter du code JS/TS hors du navigateur.
Étant signé et reconnu, Deno évite les listes de blocage et les filtres destinés à détecter les exécutions de binaires inconnus.
ReliaQuest explique qu’au lieu de déployer un chargeur de malware sur mesure, susceptible de créer des alertes, les attaquants installent l’exécutable Deno légitime pour exécuter leur code malveillant.
Des exemples d’activité observée montrent que ce processus était souvent lancé via des scripts Visual Basic (VBS) et PowerShell, nommés de manière judicieuse Romeo*.ps1 et Juliet*.vbs.
L’exécution directe en mémoire avec Deno est cruciale, car elle génère peu d’artefacts forensiques et peut être confondue avec une tâche de développement normale.
Une fois activé, le code identifie l’hôte, génère un identifiant unique pour la victime, et se connecte au serveur de commande et de contrôle (C2) pour recevoir la charge utile de deuxième étape. Parallèlement, il exécute une boucle de sondage persistante pour recevoir de nouvelles instructions du C2.
Lors de la phase de post-exploitation, LeakNet utilise des techniques de DLL sideloading, notamment jli.dll chargé via Java dans C:ProgramDataUSOShared, ainsi que des méthodes de recherche de mots de passe via l’énumération klist, de mouvement latéral via PsExec, et d’exfiltration de données en abusant des buckets Amazon S3.
Source: ReliaQuest
Les chercheurs soulignent que la cohérence et la répétabilité de cette chaîne d’attaques offrent des opportunités de détection pour les défenseurs.
Des signes forts d’une éventuelle activité de LeakNet incluent l’exécution de Deno hors des environnements de développement, des exécutions suspectes ‘misexec’ provenant de navigateurs, l’utilisation anormale de PsExec, un trafic sortant inattendu vers S3 et le DLL sideloading dans des répertoires inhabituels.