FileFix : quand un faux reCAPTCHA dissimule une cyberattaque sophistiquée

Un piège qui abuse de votre confiance

Vous naviguez sur le web, une page s’affiche avec un reCAPTCHA vous demandant de prouver que vous n’êtes pas un robot. Un geste devenu banal, quasi automatique. Sauf que cette fois, il ne s’agit pas d’un mécanisme de sécurité légitime, mais d’un leurre sophistiqué conçu pour déployer un malware sur votre machine.

Cette nouvelle technique d’attaque, baptisée FileFix, est une évolution de la méthode ClickFix. Elle cible directement ce que nous faisons tous sans réfléchir : cliquer sur « Je ne suis pas un robot » et suivre les instructions affichées.

Une mécanique d’infection redoutablement efficace

L’attaque commence par une page web piégée affichant un faux reCAPTCHA. L’utilisateur est invité à télécharger et exécuter un fichier pour « vérifier » son identité. Ce qui se passe ensuite relève d’une ingénierie technique particulièrement élaborée :

• Un script VBScript apparemment anodin cache en réalité une archive complète
• Un environnement Python portable se déploie automatiquement dans le répertoire temporaire
• Un malware de type stealer s’exécute pour collecter vos données sensibles

Ce qui rend cette attaque particulièrement préoccupante, c’est son taux de réussite élevé : l’environnement Python embarqué garantit que le malware fonctionnera quelle que soit la configuration de votre machine.

Des données sensibles dans le viseur

Une fois actif, le stealer ne perd pas de temps. Il cible méthodiquement :

• Vos identifiants et mots de passe sauvegardés dans les navigateurs
• Vos cookies de session actifs
• Votre historique de navigation
• Les données liées à vos extensions
• Ces informations sont ensuite discrètement exfiltrées vers un serveur contrôlé par les attaquants.

Une menace en constante évolution

Les analystes de Sysdream ont établi des corrélations avec le Lumma Stealer, un malware connu pour cibler les données financières et les portefeuilles de crypto-monnaies. L’utilisation d’un environnement Python portable marque une nouvelle étape dans l’évolution des techniques d’attaque : plus difficile à détecter, plus fiable dans son exécution.

Vous voulez comprendre en détail cette menace ?

Notre expert Julien D., analyste de la menace cyber chez Sysdream, a réalisé une analyse technique complète incluant :

• Le détail du processus d’infection étape par étape
• Les indicateurs de compromission (IOCs) pour détecter cette menace
• Le mapping MITRE ATT&CK des techniques utilisées
• Des recommandations concrètes pour protéger votre organisation
• Les perspectives d’évolution de cette famille de malwares

Lire l’analyse technique complète de Julien sur le blog de Sysdream : https://sysdream.com/blog/filefix-emergence-dune-variante-de-la-technique-dattaque-clickfix/

La cybersécurité repose autant sur la technologie que sur la vigilance humaine. Face à des attaques aussi sophistiquées, la formation et la sensibilisation de vos collaborateurs deviennent des remparts essentiels.

Margarida Marques

Margarida est responsable marketing client chez Hub One. Curieuse par nature et même si tous les sujets l’intéressent, Margarida a tout de même une préférence pour la littérature réaliste anglaise de l’époque victorienne. Du roman social aux voyages en passant par son engagement en qualité de bénévole au Samu social, il n’y avait qu’un pas, qu’elle a franchi. Côté technologie, Margarida ne se sépare jamais de son enceinte Bluetooth sur laquelle elle écoute ses émissions en podcast ou sa musique à tue-tête. Mais tout cela se fait bien évidemment à partir de l’objet qu’elle ne quitte jamais, son précieux, son téléphone.