L’Australian Cyber Security Center (ACSC) alerte les organisations sur une campagne malveillante active qui exploite la technique d’ingénierie sociale ClickFix pour propager le malware d’exfiltration de données Vidar Stealer.
ClickFix repose sur des invites falsifiées, telles que des vérifications Cloudflare ou des CAPTCHA trompeurs, affichées sur des sites web compromis ou malveillants. Ces leurres incitent les visiteurs à copier et exécuter manuellement des commandes nocives.
Des sites WordPress compromis au cœur des attaques
Les entités australiennes, y compris les infrastructures critiques, subissent ces offensives via des sites WordPress piratés. Ces derniers redirigent les utilisateurs vers des charges utiles malveillantes. Une fois sur place, une fausse page de vérification pousse à lancer une commande PowerShell qui contourne les protections et installe Vidar Stealer.
L’ACSC, rattaché à l’Australian Signals Directorate, signale l’usage d’infrastructures hébergées sur WordPress pour diffuser ce malware.
Caractéristiques de Vidar Stealer
Famille de malwares apparue fin 2018, Vidar Stealer fonctionne en mode malware-as-a-service. Cybercriminels l’apprécient pour son faible coût, sa simplicité de déploiement et sa capacité à dérober mots de passe de navigateurs, cookies, portefeuilles de cryptomonnaies, données d’autocomplétion et informations système.
Présent dans des campagnes ClickFix, il se propage aussi via des tutoriels de réparation Windows, des vidéos TikTok ou des dépôts GitHub. Son développeur a lancé une version améliorée en 2023.
Sur les machines infectées, Vidar Stealer efface son fichier exécutable après démarrage et s’exécute en mémoire pour limiter les traces exploitables en analyse forensique. Il récupère ses adresses de C2 (command-and-control) par des URL de type « dead-drop » sur des services publics, comme des bots Telegram ou des profils Steam.
Mesures de protection préconisées
L’ACSC préconise de limiter l’exécution de PowerShell et d’adopter une politique d’application allow-listing pour minimiser les risques.
Les administrateurs de sites WordPress doivent installer les mises à jour de sécurité pour thèmes et extensions, et supprimer les éléments inutilisés.
Le bulletin de l’agence liste des IoCs (indicateurs de compromission) pour détecter et contrer ces menaces.