L'attaque ClickFix utilise de faux écrans Windows Update

Génération NT / Actualités / L'attaque ClickFix utilise de faux écrans Windows Update

Publié le 25 novembre 2025 à 11:50 par Jérôme G.

Via de faux écrans de mise à jour Windows, des attaquants poussent des victimes à exécuter une commande qui déploie un malware. Un nouveau visage de la menace ClickFix.

Une nouvelle vague d'attaques par ingénierie sociale gagne en sophistication, avec une méthode désormais considérée par Microsoft comme la plus courante pour l'accès initial.

Des cybercriminels déploient des leurres imitant les écrans de mise à jour de Windows pour inciter les utilisateurs à exécuter eux-mêmes des commandes malveillantes.

Cette technique aboutit à l'installation de malwares de type infostealers comme LummaC2 et Rhadamanthys, avec une méthode de dissimulation particulièrement ingénieuse.

Comment une simple image peut-elle cacher un malware ?

Au cœur de l'attaque se trouve la stéganographie qui consiste à dissimuler des données à l'intérieur d'un fichier anodin, en l'occurrence une image PNG. Contrairement à une pièce jointe, " le code malveillant est encodé directement dans les données des pixels des images PNG ", expliquent les chercheurs de Huntress.

Le processus d'infection se déroule en plusieurs étapes. La commande exécutée par l'utilisateur lance un script PowerShell qui, à son tour, charge un assembleur .NET. Ce dernier, baptisé Stego Loader, a pour mission d'extraire, de reconstruire et de décrypter le code malveillant caché dans les canaux de couleur de l'image pour l'exécuter en mémoire.

Pour déjouer les outils d'analyse, les attaquants ont même intégré une tactique où le programme appelle 10 000 fonctions vides avant de lancer la charge utile réelle.

Quels sont les leurres utilisés pour piéger les victimes ?

Les chercheurs de Huntress ont observé deux variantes principales. La première s'appuie sur des leurres classiques de type CAPTCHA. La seconde est plus redoutable avec un faux écran de mise à jour Windows convaincant qui bascule le navigateur en plein écran et affiche des animations réalistes.

Au terme de cette fausse mise à jour, l'utilisateur est invité à finaliser le processus en utilisant la méthode ClickFix : ouvrir la boîte de dialogue Exécuter (Win+R), y coller une commande (préalablement copiée dans le presse-papiers par un script sur la page) et l'exécuter. Cette action, initiée par la victime, permet de contourner de nombreuses protections de sécurité.

Comment se protéger contre ces nouvelles menaces ?

Face à ce type de menace qui repose sur la manipulation de l'utilisateur, la vigilance et certaines mesures techniques sont essentielles pour éviter l'infection par des logiciels voleurs d'informations.

Huntress recommande la mesure la plus radicale et efficace : désactiver la boîte de dialogue Exécuter via une modification du Registre ou une stratégie de groupe (GPO). La sensibilisation des utilisateurs est également cruciale.

Il est impératif de rappeler que " les processus légitimes de CAPTCHA ou de mise à jour de Windows ne demanderont jamais de coller et d'exécuter des commandes ".

Sur le plan technique, il est conseillé de surveiller les chaînes de processus suspectes, comme un processus explorer.exe qui lancerait mshta.exe ou powershell.exe avec des lignes de commande inhabituelles.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire