DeepLoad Malware: ClickFix and WMI for Credential Theft

LockSelf Team

4 min de lecture
Partager
DeepLoad Malware: ClickFix and WMI for Credential Theft

Alerte Sécurité : Malware DeepLoad Actif

DeepLoad est un chargeur de malware identifié dans une campagne active depuis mars 2026, qui utilise une tactique d'ingénierie sociale nommée ClickFix pour pousser l'utilisateur à exécuter un composant malveillant. Une fois lancé, DeepLoad exfiltre immédiatement des identifiants stockés dans les navigateurs et met en place une persistance via WMI³. Cette campagne a été documentée publiquement par des équipes de recherche et des médias spécialisés ¹ ².

Urgence

Action impérative - la fenêtre pour limiter l'impact se compte en heures. Les équipes doivent prioriser l'investigation et la remédiation des traces WMI et des sessions compromises.

Conséquences potentielles :

  • Vol de sessions et d'identifiants - accès aux applications internes et cloud, capables d'entraîner un impact financier direct selon la nature des comptes compromis.
  • Risques de conformité RGPD - si des comptes administratifs ou des données personnelles sont exposés, des sanctions financières lourdes sont possibles, jusqu'à 4% du chiffre d'affaires annuel ou 20 millions d'euros selon le montant le plus élevé .

Mesures Opérationnelles Immédiates

  • Détecter et neutraliser la persistance WMI
  • Action - inventorier les EventFilter, EventConsumer et les bindings WMI sur les hôtes critiques. Commande de départ : Get-WmiObject -Namespace root\subscription -Class __EventFilter et Get-WmiObject -Namespace root\subscription -Class __EventConsumer. Rechercher toute entrée inconnue, des exécutables référencés sur des chemins temporaires ou des scripts encodés.
  • Délai - 24 heures.
  • Risque en cas d'inaction - réinfection et maintien de la collecte d'identifiants.
  • Contrôler la collecte de credentials
  • Action - réinitialiser les sessions compromises, révoquer les tokens OAuth et forcer le changement de mots de passe pour les comptes à privilèges. Imposer la MFA sur toutes les connexions administratives et sensibles.
  • Délai - immédiatement.
  • Risque - accès persistant aux ressources critiques.
  • Renforcer la détection en mémoire
  • Action - déployer ou vérifier la couverture EDR sur tous les endpoints, activer la surveillance des injections de processus et l'audit avancé des accès aux profils de navigateurs. Activer des alertes sur comportements anormaux : exécutions de mshta, parentage inhabituel et chargement dynamique de DLL.
  • Délai - 24 heures.

Surveillance et Chasse

  • Mettre en place des règles de surveillance WMI - journaliser et corréler la création/modification d'EventFilter, EventConsumer et FilterToConsumerBinding. Faire remonter toute modification hors fenêtres de maintenance.
  • Chasse proactive - engager des sessions de threat hunting pour chercher les injections en mémoire et les connexions sortantes inhabituelles, en particulier les requêtes vers des domaines de commande et contrôle.

Durcissement des Systèmes

  • Bloquer l'exécution de macros et scripts non signés via des stratégies de groupe et des protections applicatives.
  • Appliquer la MFA obligatoire sur les comptes administratifs et les applications critiques.
  • Activer les protections du système et du navigateur comme Credential Guard et les protections anti-exécution pour limiter le vol de credentials.

Remédiation Post-Infection

Lorsque l'infection est confirmée, la chasse doit viser l'élimination complète des artefacts WMI et des exécutables injectés. Procédure recommandée :

  • Inventorier et supprimer tous les objets WMI suspects après capture d'image et logs pour l'analyse.
  • Réinstaller depuis une image propre pour les postes douteux et révoquer tous les certificats ou clefs potentiellement exposés.
  • Lancer une analyse forensic complète et conserver les artefacts pour la notification si nécessaire.

Surveillance Long Terme et Amélioration

Après remédiation, établir une surveillance continue pour empêcher une réapparition. Mettre à jour les playbooks d'incident, centraliser le logging et pratiquer des exercices de chasse réguliers.

Les capacités de détection en mémoire et la corrélation SIEM sont indispensables pour réduire la fenêtre d'exposition. Les EDR équipés pour l'analyse comportementale offrent les meilleures chances de détecter DeepLoad durant ses phases actives ².

Le mode opératoire ClickFix exploite l'urgence perçue et l'apparence d'un message ou d'une notification interne pour inciter au clic ¹. La vigilance des utilisateurs reste un facteur critique ; former les équipes à repérer ces leurres réduit significativement le taux d'infection.

Illustration cybersécurité

Respecter les délais opérationnels mentionnés ici et prioriser la chasse WMI permettra de limiter l'impact et de préserver la preuve nécessaire en cas de notification RGPD.

Contactez l'équipe sécurité ou votre CERT interne immédiatement si vous observez des indicateurs ou des comportements décrits ci-dessus.

Actions techniques détaillées

Pour l'inventaire initial, exécuter des requêtes WMI sur un hôte de test avant déploiement large. Exemples de commandes PowerShell utiles :

  • Get-WmiObject -Namespace root\subscription -Class __EventFilter | Select-Object Name, Query
  • Get-WmiObject -Namespace root\subscription -Class __EventConsumer | Select-Object Name, CommandLine
  • Get-WmiObject -Namespace root\subscription -Class __FilterToConsumerBinding | Format-List

Si un objet suspect est identifié, collecter son contenu et ses métadonnées avant suppression. La suppression doit être planifiée et validée, car une suppression incorrecte peut impacter des services légitimes.

Capturer l'image mémoire des systèmes compromis est prioritaire pour analyser les injections en cours. Utiliser des outils validés par votre équipe forensic et stocker les images sur un média chiffré avec une chaîne de conservation.

Récupération des profils de navigateurs - exporter les fichiers de profil et les cookies avant réinitialisation des postes, afin d'identifier les comptes compromis et les sessions actives.

Communication et conformité - documenter chaque action, conserver les journaux et préparer la liste des comptes affectés. En cas de données personnelles exposées, la notification RGPD doit être envisagée en coordination avec les fonctions juridiques.

Questions fréquentes

Qu'est-ce que ClickFix et pourquoi cette tactique fonctionne-t-elle ?

ClickFix est une forme d'ingénierie sociale qui présente un message ou une alerte incitant l'utilisateur à cliquer pour "corriger" ou vérifier un problème. Les messages imitent souvent des outils ou des communications internes, ce qui augmente la crédibilité et le taux de clics ¹.

Comment DeepLoad obtient-il une persistance via WMI ?

La persistance WMI s'appuie sur trois objets principaux : __EventFilter (décrit l'événement), __EventConsumer (définit l'action à exécuter) et __FilterToConsumerBinding (associe filtre et consumer). Un acteur malveillant peut créer ces objets pour exécuter un script ou un binaire lorsqu'un événement spécifique se produit ³.

Les EDR détectent-ils automatiquement DeepLoad ?

Certains EDR modernes détectent des phases d'activité en mémoire et des injections de processus, mais l'obfuscation dynamique et l'utilisation de process injection complicent la détection statique. Une combinaison d'EDR, de corrélation SIEM et de chasse proactive est recommandée ².

Que faire immédiatement si une suspicion d'infection existe ?

Isoler les postes concernés, capturer les images mémoire et les logs, inventorier et sauvegarder les objets WMI suspects avant suppression, révoquer tokens et sessions, et forcer la rotation des identifiants à privilèges. Contacter l'équipe forensic et le service juridique pour préparation de la notification si nécessaire ¹ ².

Sources

Lire la suite