TechFlow, le 15 janvier, Scam Sniffer a publié un avertissement de sécurité révélant une nouvelle attaque de phishing utilisant une fausse page de vérification Cloudflare. Les attaquants utilisent un site se faisant passer pour kick[.]com[.]im/stripcoin afin d'inciter les utilisateurs à appuyer sur Windows + R et coller ce qu'ils appellent un « texte de vérification », qui consiste en réalité à injecter une commande PowerShell malveillante.
Le processus d'attaque comprend :
-
Rediriger l'utilisateur via une fausse page de vérification Cloudflare ;
-
Utiliser i.imghippo[.]com pour héberger le programme malveillant ;
-
Télécharger un logiciel malveillant déguisé en « OneDrive.exe » ;
-
Assurer une infection persistante via les éléments de démarrage de Windows ;
Scam Sniffer rappelle aux utilisateurs :
-
Aucun site légitime ne demande jamais aux utilisateurs d'exécuter des commandes en ligne de commande ;
-
De rester vigilant face à toute demande de vérification basée sur le presse-papiers ;
-
De toujours vérifier l'authenticité d'un site web ;
-
De se méfier de toute élévation de privilèges administratifs non autorisée ;
-
De surveiller si l'historique d'exécution de Windows a été altéré.




