Une nouvelle variante du malware ClickFix circule en ce moment, et elle s’attaque à ce que les utilisateurs Windows considèrent comme le plus fiable : l’écran de mise à jour.
Les chercheurs de Huntress ont découvert une fausse mise à jour Windows en plein écran, tellement crédible que de nombreuses victimes pensent réellement que leur système est bloqué à 95 %. En réalité, l’écran est un piège destiné à pousser l’utilisateur à exécuter lui-même une commande… et donc à installer le malware sans s’en rendre compte.
Le plus inquiétant ? L’attaque repose uniquement sur l’ingénierie sociale et un simple copier-coller.
Comment l’infection ClickFix commence ?
Le scénario est presque toujours le même :
- visite d’un site douteux
- principalement des pages de streaming adulte
- clic sur un pop-up, un faux « test d’âge » ou un bouton « continue »
En un instant, le navigateur passe en plein écran et affiche une fausse page de mise à jour Windows, avec barre de progression, fond bleu, icônes… tout y est. Puis un message invite l’utilisateur à : Appuyer sur Win + R et coller une commande pour « finaliser l’installation ».
Évidemment, cette commande est le point d’entrée du malware.
Ce que fait réellement la commande
La commande, une fois collée dans la boîte « Exécuter », lance en silence :
mshta, un outil légitime de Windows souvent détourné par les malwares.- Télécharge un script malveillant depuis un serveur distant.
- Se camoufle sous des couches de commandes inutiles pour tromper les antivirus.
- Récupère du code caché dans les pixels d’une image PNG, une technique destinée à dissimuler la charge utile.
- S’injecte dans des processus .NET pour se fondre dans le système.
Puis, vient la seconde étape : l’installation de voleurs d’identifiants bien connus comme : Rhadamanthys et LummaC2.
Ces outils dérobent les mots de passe, les cookies de navigateur, les identifiants bancaires ou encore les données de portefeuilles crypto. Le tout envoyé directement aux serveurs des attaquants.
Un code volontairement brouillon pour ralentir les analystes
Les chercheurs ont aussi trouvé des chaînes de texte absurdes et inutiles dans le code : des commandes fantômes, des phrases hors sujet, et même une référence à un vieux discours de l’ONU.
Le but : perdre du temps aux analystes et compliquer la rétro-ingénierie du malware.
Une campagne toujours en cours
L’opération est active depuis début octobre, et plusieurs domaines clones continuent d’héberger la fausse page de mise à jour. C’est une attaque 100 % manipulation : aucun téléchargement, aucun pop-up d’antivirus et aucune vulnérabilité exploitée.
Juste un site qui vous pousse à lancer sa commande à sa place.
À retenir : un vrai Windows Update ne demande JAMAIS d’utiliser Win + R
Microsoft ne demande jamais d’exécuter une commande manuelle pour terminer une mise à jour.
Si un site Web — quel qu’il soit — vous demande d’ouvrir Exécuter, coller une commande ou encore lancer PowerShell pour « réparer une mise à jour », fermez l’onglet immédiatement.
C’est actuellement l’une des attaques les plus dangereuses, justement parce qu’elle semble totalement légitime.