### Les exploits ClickFix ciblent l'infrastructure australienne ClickFix est une attaque d'ingénierie sociale qui trompe les utilisateurs pour qu'ils exécutent des commandes malveillantes, souvent via de fausses invites CAPTCHA ou de vérification de navigateur sur des sites web compromis ou malveillants. Ces attaques impliquent généralement l'exécution de commandes **PowerShell** par les utilisateurs, contournant les contrôles de sécurité pour délivrer des malwares, couramment des info-stealers. Les organisations et les entités d'infrastructure australiennes sont les principales cibles, avec des sites web **WordPress** compromis redirigeant les utilisateurs vers des payloads malveillants. Les utilisateurs visitant ces sites se voient présenter une fausse invite de vérification **Cloudflare** ou CAPTCHA, leur demandant de copier et d'exécuter manuellement une commande PowerShell malveillante, conduisant à une infection par Vidar Stealer. « Le Centre Australien de Cybersécurité (ACSC) de l'Australian Signals Directorate (ASD) a observé une activité associée à ClickFix exploitant une infrastructure hébergée sur WordPress pour distribuer le malware Vidar Stealer », selon l'avis de l'agence. ### Vidar Stealer : une solution rentable de vol d'informations **Vidar Stealer** est une famille de malwares d'information et une opération de malware-as-a-service (MaaS) apparue fin 2018. Il est devenu un choix populaire parmi les cybercriminels en raison de sa rentabilité, de sa facilité de déploiement et de ses vastes capacités de vol de données. Le malware cible les mots de passe de navigateur, les cookies, les portefeuilles de cryptomonnaies, les informations de remplissage automatique et les détails du système. Vidar a été observé dans des attaques ClickFix, promu via de fausses corrections Windows, des vidéos **TikTok** et **GitHub**. L'année dernière, le développeur a publié une nouvelle version avec des capacités améliorées. ### La furtivité et la communication C2 de Vidar L'ACSC note que Vidar supprime son exécutable après son lancement sur l'appareil infecté, puis opère à partir de la mémoire système, réduisant les artefacts forensiques. Il récupère son adresse de commande et de contrôle (C2) via des URL « dead-drop » utilisant des services publics tels que les bots **Telegram** et les profils **Steam**. ### Recommandations d'atténuation L'ACSC recommande aux organisations de restreindre l'exécution de PowerShell et de mettre en œuvre une liste blanche d'applications pour réduire le risque lié à ces attaques. Les administrateurs de sites WordPress sont également invités à appliquer les mises à jour de sécurité disponibles pour les thèmes et les extensions, et à supprimer tout thème/plugin inutilisé de leurs plateformes. Le bulletin de sécurité de l'ACSC fournit des indicateurs de compromission (IoCs) pour ces attaques, permettant aux organisations d'établir des défenses ou de détecter des intrusions.  ## [99% de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation. [Réservez Votre Place](https://hubs.li/Q04crVgD0)