Le gang Interlock utilise FileFix pour tromper les utilisateurs via l’Explorateur Windows et installer discrètement des RAT. Une technique de plus en plus redoutable.

Les attaques menées par le ransomware Interlock ont récemment pris une nouvelle tournure avec l’adoption de la technique FileFix. Ce procédé, dérivé de l’attaque ClickFix, permet aux hackers de déployer des trojans d’accès à distance (RAT) sur des systèmes ciblés. Cette méthode innovante exploite des éléments de l’interface utilisateur Windows pour tromper les utilisateurs et compromettre leurs systèmes.

FileFix : Une évolution du ClickFix

FileFix, une technique de social engineering, repose sur la manipulation des utilisateurs pour qu’ils exécutent des commandes malveillantes. Contrairement à ClickFix, qui incitait les victimes à coller des commandes dans le dialogue « Exécuter » de Windows, FileFix utilise l’Explorateur de fichiers de Windows. Les utilisateurs sont invités à copier un chemin de fichier apparemment anodin mais qui est en réalité une commande PowerShell déguisée.

Cette méthode a été observée dans les récentes attaques d’Interlock, où les cibles collaient un chemin falsifié dans l’Explorateur de fichiers, entraînant le téléchargement et l’exécution d’un RAT PHP. Une fois installé, ce RAT exécute une série de commandes pour collecter des informations système et réseau, qu’il exfiltre ensuite vers les attaquants sous forme de JSON structuré. Ce processus illustre la capacité des attaquants à utiliser des techniques apparemment légitimes pour contourner les mesures de sécurité.

Impacts et stratégies de mitigation

Le passage à FileFix marque une nouvelle étape dans la sophistication des attaques de ransomware. L’outil de livraison utilisé, le KongTuke injector, continue d’évoluer pour mieux tromper les utilisateurs et échapper à la détection. Comme le souligne BleepingComputer, cette capacité d’adaptation rapide rend les attaquants particulièrement redoutables.

L’impact de ces attaques est considérable, touchant diverses industries, notamment le secteur de la santé, comme en témoigne l’affaire de Kettering Health. Les organisations doivent donc renforcer leurs défenses en surveillant les comportements anormaux, notamment les accès à des registres suspects ou les commandes PowerShell inhabituelles. L’éducation des utilisateurs sur ces nouvelles techniques de fraude est également cruciale pour prévenir les infections.

Une menace en pleine expansion

Le recours à FileFix par Interlock n’est que le début. Cette technique est susceptible de gagner en popularité car les acteurs malveillants cherchent constamment de nouvelles façons de contourner les défenses. La menace est d’autant plus insidieuse qu’elle repose sur la complicité involontaire des utilisateurs, qui exécutent eux-mêmes les commandes malveillantes. Comprendre et anticiper ces méthodes est essentiel pour toute organisation souhaitant se protéger efficacement contre ce type d’attaque.

Cette évolution illustre la capacité des attaquants à détourner des éléments familiers pour tromper même les utilisateurs les plus avertis, soulignant ainsi l’importance d’une vigilance constante et d’une adaptation rapide des stratégies de cybersécurité.