Le gang de ransomware LeakNet fait évoluer sa stratégie d'attaque avec la technique ClickFix
L'opération de ransomware LeakNet a lancé une nouvelle campagne d'attaque sophistiquée le 15 mars 2026, incorporant la technique d'ingénierie sociale ClickFix pour obtenir un accès initial aux réseaux d'entreprise. Les chercheurs en sécurité ont découvert que le groupe a développé un chargeur de logiciels malveillants personnalisé basé sur le runtime open-source Deno, marquant une évolution significative dans leur méthodologie d'attaque.
ClickFix représente une technique trompeuse où les attaquants présentent aux utilisateurs de faux messages d'erreur ou notifications système les incitant à cliquer sur des boutons ou liens spécifiques pour "réparer" des problèmes inexistants. L'implémentation de LeakNet affiche des pages d'erreur de navigateur convaincantes affirmant que la fonctionnalité JavaScript est désactivée ou corrompue, instruisant les victimes d'activer les scripts ou de télécharger des "outils de réparation" qui contiennent en réalité des charges utiles malveillantes.
L'adoption par le groupe de ransomware du runtime Deno pour leur chargeur de logiciels malveillants démontre une sophistication technique. Deno, créé par le fondateur de Node.js Ryan Dahl, fournit un runtime sécurisé pour JavaScript et TypeScript avec un modèle de permissions intégré. Cependant, LeakNet arme ces capacités pour créer un chargeur furtif capable d'exécuter du code arbitraire tout en apparaissant comme des processus JavaScript légitimes pour les outils de surveillance de sécurité.
Les analystes en cybersécurité suivant la campagne ont identifié plusieurs vecteurs d'attaque, y compris des sites Web compromis hébergeant de fausses mises à jour logicielles, des pièces jointes d'e-mail malveillantes déguisées en correctifs système, et des liens sur les réseaux sociaux dirigeant les utilisateurs vers des pages de support technique frauduleuses. Le catalogue des vulnérabilités exploitées connues de la CISA a été mis à jour pour refléter les menaces émergentes liées aux techniques d'exploitation du runtime JavaScript.
Le timing de cette campagne coïncide avec l'adoption accrue par les entreprises d'outils de développement basés sur JavaScript et de services cloud, offrant à LeakNet des surfaces d'attaque élargies. Les vecteurs d'infection initiaux montrent que le groupe cible spécifiquement les organisations avec des politiques de travail à distance, exploitant la dépendance accrue aux applications basées sur le Web et aux flux de travail dépendants du navigateur qui sont devenus courants dans l'environnement commercial post-pandémique.
Réseaux d'entreprise et environnements de développement JavaScript à risque
La campagne ClickFix de LeakNet cible principalement les entreprises de taille moyenne à grande dans plusieurs secteurs, avec un accent particulier sur les organisations utilisant des environnements de développement fortement basés sur JavaScript et des applications basées sur Node.js. Les entreprises exécutant des environnements runtime Deno font face à un risque accru, car le chargeur de logiciels malveillants exploite spécifiquement le modèle de permissions de Deno pour établir un accès persistant tout en évitant les systèmes traditionnels de détection des points de terminaison.
La méthodologie d'attaque affecte les organisations avec des piles technologiques spécifiques, y compris les versions 1.40 à 1.42 du runtime Deno, les environnements Node.js avec des capacités de compilation TypeScript, et les applications Web utilisant des frameworks JavaScript modernes. Les travailleurs à distance accédant aux ressources d'entreprise via des applications basées sur le navigateur représentent le vecteur d'infection initial principal, en particulier ceux utilisant les navigateurs Chrome, Firefox et Edge sur les systèmes Windows 10 et 11.
Les entreprises de services financiers, de santé et de technologie montrent des schémas de ciblage disproportionnés, probablement en raison de leurs actifs de données de grande valeur et de leur utilisation extensive d'applications basées sur JavaScript. Les organisations avec des politiques d'appareils personnels font face à une exposition supplémentaire, car les appareils personnels accédant aux réseaux d'entreprise peuvent servir de points d'entrée pour la technique ClickFix. Les composants d'ingénierie sociale de la campagne ciblent spécifiquement le personnel de support informatique et les développeurs qui pourraient être plus enclins à interagir avec des messages d'erreur techniques et des invites de réparation système.
L'analyse géographique révèle une activité concentrée en Amérique du Nord et en Europe occidentale, avec des schémas émergents dans les régions Asie-Pacifique où l'adoption du développement JavaScript continue de croître. Les petites entreprises utilisant des plateformes de développement basées sur le cloud et des applications de type logiciel en tant que service font également face à une exposition indirecte à travers des scénarios de compromission de la chaîne d'approvisionnement.
Analyse technique et stratégies d'atténuation pour le chargeur basé sur Deno de LeakNet
Le chargeur de logiciels malveillants de LeakNet exploite les fonctionnalités de sécurité intégrées de Deno comme mécanisme d'évasion, utilisant le système de permissions du runtime pour demander uniquement des droits d'accès minimaux lors de l'exécution initiale. Le chargeur établit une persistance à travers des modules TypeScript apparaissant légitimes qui s'enregistrent comme services système, rendant la détection difficile pour les solutions antivirus traditionnelles qui se concentrent sur les signatures de fichiers exécutables plutôt que sur l'analyse du comportement du runtime.
Les organisations devraient immédiatement mettre en œuvre un filtrage au niveau du réseau pour bloquer les modèles d'exécution JavaScript suspects et surveiller le lancement de processus Deno sur les points de terminaison. Les équipes de sécurité doivent configurer les outils de détection et de réponse des points de terminaison pour signaler les activités de compilation TypeScript inhabituelles et les croiser avec les indicateurs de compromission connus de LeakNet. Les derniers rapports de renseignement sur les menaces fournissent des hachages de fichiers spécifiques et des signatures réseau pour les règles de détection.
Les étapes d'atténuation immédiates incluent la désactivation de l'exécution automatique de JavaScript dans les clients de messagerie, la mise en œuvre de listes blanches d'applications pour les runtimes Deno et Node.js, et l'établissement de programmes d'éducation des utilisateurs axés sur la reconnaissance des tentatives d'ingénierie sociale ClickFix. Les administrateurs informatiques devraient auditer tous les systèmes avec des installations Deno, appliquer les derniers correctifs de sécurité du runtime, et configurer des politiques de permissions strictes qui empêchent l'accès réseau non autorisé et les modifications du système de fichiers.
La chasse aux menaces persistantes avancées nécessite de surveiller les requêtes DNS inhabituelles vers des domaines associés à de faux sites de support technique, d'analyser les installations d'extensions de navigateur pour des composants malveillants, et de mettre en œuvre une analyse comportementale pour les processus JavaScript qui tentent une élévation de privilèges. La segmentation du réseau devient critique pour empêcher le mouvement latéral une fois la compromission initiale survenue, en particulier en isolant les environnements de développement des systèmes de production et en mettant en œuvre les principes d'architecture zéro confiance pour les contrôles d'accès au runtime JavaScript.
