Nederlands
English
Français
Deutsch
Español
Português
Microsoft Alerte sur les Attaques ClickFix d'Ingénierie Sociale Sophistiquées
Microsoft a émis un avertissement critique concernant la menace croissante des attaques ClickFix d'ingénierie sociale qui manipulent les utilisateurs pour exécuter des commandes malveillantes via des opérations de copier-coller. Les chercheurs en sécurité de la société technologique ont observé des milliers d'appareils d'entreprise et grand public compromis quotidiennement grâce à cette technique.
Fonctionnement des Attaques ClickFix
Les attaques ClickFix commencent par des acteurs malveillants utilisant des e-mails de phishing, des publicités malveillantes ou des sites web compromis pour diriger les victimes vers des pages de destination trompeuses. Ces pages affichent généralement de fausses invites de vérification CAPTCHA ou des messages d'erreur qui semblent légitimes, imitant souvent des services de confiance comme Google reCAPTCHA, Cloudflare Turnstile ou même la vérification de serveur Discord.
Lorsque les utilisateurs tentent de "résoudre" ces faux défis de vérification, le site web malveillant copie automatiquement une commande dangereuse dans leur presse-papiers. Les instructions guident ensuite les utilisateurs pour ouvrir Windows PowerShell ou la boîte de dialogue Exécuter (Win+R) et coller la commande, ce qui télécharge et exécute immédiatement des logiciels malveillants sur leur système.
Charges Malveillantes et Conséquences
Les attaques livrent généralement des logiciels malveillants voleurs d'informations comme Lumma Stealer, Lampion ou Atomic macOS Stealer (AMOS), qui peuvent collecter des identifiants sensibles, des cookies de navigateur, des informations de portefeuille de cryptomonnaies et d'autres données précieuses. Certaines campagnes déploient des outils d'accès à distance (RAT) comme Xworm, AsyncRAT ou NetSupport, donnant aux attaquants un contrôle complet sur les systèmes compromis.
L'analyse de Microsoft révèle que ces attaques sont particulièrement efficaces car elles contournent les solutions de sécurité traditionnelles en nécessitant une interaction humaine. Les commandes malveillantes utilisent souvent des binaires living-off-the-land (LOLBins) et des techniques d'obfuscation sophistiquées pour éviter la détection.
Menace Multi-Plateforme
Bien qu'initialement ciblant les systèmes Windows, les attaques ClickFix se sont étendues aux plateformes macOS et Linux. La variante macOS, découverte mi-2025, utilise des tactiques d'ingénierie sociale similaires mais emploie des commandes spécialement conçues pour les systèmes Unix pour contourner les protections de sécurité.
Stratégies de Protection et d'Atténuation
Microsoft recommande plusieurs mesures défensives : les organisations doivent bloquer l'utilisation inutile de la boîte de dialogue Exécuter, mettre en œuvre des politiques de contrôle d'application et fournir une formation complète à la sensibilisation à la sécurité. Les protections techniques incluent l'activation de Microsoft Defender SmartScreen, des fonctionnalités de protection réseau et la journalisation des blocs de scripts PowerShell.
Les utilisateurs doivent être prudents concernant le copier-coller de commandes provenant de sites web non familiers et doivent vérifier la légitimité de toute invite de vérification avant d'interagir avec elle. Les équipes de sécurité d'entreprise doivent surveiller les entrées du registre RunMRU pour détecter des modèles d'exécution de commandes suspects.
