LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Renseignement sur les menaces2026-04-286 мин. четене

Anatomie du leurre « faux CAPTCHA → ClickFix »

Un tour d'horizon de 90 secondes de l'une des chaînes d'ingénierie sociale les plus efficaces de cette année, avec la transcription MITM complète d'une détection réelle.

ClickFix est une technique par laquelle une fausse page CAPTCHA convainc l'utilisateur de coller une commande depuis le presse-papiers dans la boîte de dialogue « Exécuter » de Windows. La commande dans le presse-papiers est généralement un one-liner PowerShell qui télécharge un loader de second niveau.

L'infrastructure impressionne par sa simplicité : un plugin WordPress compromis injecte un script conditionnel qui remplace la page par le leurre lorsque le visiteur correspond au profil cible (Windows + IP non-entreprise + première visite).

Notre pipeline capture cela au niveau de la chaîne de redirections. Le JS injecté effectue un fetch same-origin vers /wp-content/plugins/<name>/api.php, qui retourne le HTML du leurre. Ce fetch est invisible pour les scanners passifs, mais incontestable lors d'une ré-exécution dans un vrai navigateur.

La bonne nouvelle : chaque détection confirmée au cours du dernier trimestre partageait le même en-tête à trois caractères dans la réponse d'api.php. Nous marquons désormais cet en-tête au niveau réseau pour une alerte précoce.

свързани_статии

Détection des skimmers Magecart en 2026 : ce qui a changé depuis le Groupe 12

Pourquoi nous avons opté pour un intervalle de scan de 5 minutes (et non 1 minute)