Moins compris que le phishing, la technique de l’ingénierie sociale qui incite les utilisateurs à coller des commandes malveillantes dans des outils comme PowerShell ou l’invite de l’exécution de Windows exécute Riot.
Les incidents de Clickfix – la technique d’attaque d’ingénierie sociale qui incitent les utilisateurs à exécuter du code malveillant – montent en flèche.
Les attaques de Clickfix impliquent généralement l’affichage d’une fausse erreur ou de la vérification contrefait de CAPTCHA dans le but de tromper une victime potentielle pour copier, coller et exécuter des commandes malveillantes sur leurs appareils.
Les attaques commencent généralement après qu’un utilisateur visite un site Web compromis ou malveillant, ou ouvre une pièce jointe ou un lien trompeur. Les victimes sont socialement conçues pour résoudre un défi malveillant, conduisant à l’exécution du code PowerShell, suivi de charges utiles supplémentaires.
Le vecteur d’attaque affecte tous les principaux systèmes d’exploitation, y compris Windows, Linux et MacOS.
Le fournisseur de sécurité ESET rapporte que les attaques Clickfix ont augmenté de plus de 500% entre décembre 2024 à mai 2025 par rapport aux six mois précédents. Clickfix est désormais le deuxième vecteur d’attaque le plus courant après le phishing et était responsable de près de 8% de toutes les attaques bloquées par ESET dans H1 2025.
« La liste des menaces auxquelles les attaques de clics conduisent se développent de jour en jour, notamment les infostelleurs, les ransomwares, les chevaux de Troie d’accès à distance, les cryptomineurs, les outils post-exploitation et même les logiciels malveillants personnalisés des acteurs de menace alignés par les États-nations », selon Jiří Kropáč, directeur des laboratoires de prévention des menaces à l’ESET.
Clickfix est rapidement devenu l’un des vecteurs d’intrusion cybercriminale les plus importants car il est moins compris que le phishing, que les utilisateurs sont devenus progressivement plus méfiants au fil du temps et réussissent fréquemment.
« Ce qui rend cette nouvelle technique d’ingénierie sociale efficace, c’est qu’il est assez simple pour la victime de suivre les instructions, suffisamment crédible pour sembler qu’il pourrait résoudre un problème inventé et abuse de la probabilité que les victimes ne prêtent pas beaucoup d’attention aux commandes exactes qu’on leur a demandé de coller et d’exécuter sur son appareil », a expliqué Kropáč.
Kropáč a ajouté: « Avec sa popularité croissante, il est possible que Microsoft et Apple, mais aussi la communauté des open source, ajouteront une sorte d’avertissement de sécurité comme celui utilisé pour les macros dans Word ou Excel, ou pour les fichiers copiés à partir d’Internet, en informant les utilisateurs qu’ils sont sur le point d’exécuter un script potentiellement dangereux. »
Charges utiles dangereuses
Clickfix Tactics a alimenté la surtension des logiciels malveillants tels que Lumma et Sectoprat, en utilisant des outils de confiance comme MSHTA pour contourner les défenses et livrer des charges utiles, selon la société Intel Reliaquest.
Des tactiques d’ingénierie sociale comme l’identité d’aide à l’assistance ont poussé le RDP (protocole de bureau à distance) avant le speurphishing interne en tant que méthode d’accès initiale supérieure, rapporte la société Intel Reliaquest.
Le fournisseur de sécurité Sentinelabs prévient que ClickFix montre comment les acteurs de la menace profitent de l’inconvénient des processus répétitifs de vérification anti-spam pour étendre leur livre de jeu.
Contre-mesures
Les attaques ClickFix contournent souvent de nombreux outils de sécurité car l’approche repose sur l’interaction utilisateur. La formation des utilisateurs à reconnaître les invites suspectes et à éviter de copier et d’exécuter du code à partir de sources non fiables est une première étape essentielle de la défense contre la menace croissante.
Le resserrement des contrôles techniques tels que la protection des points finaux, le filtrage Web et les technologies de sécurité des e-mails pour bloquer l’accès aux sites et pièces jointes connus peuvent atténuer davantage les attaques. La planification de la réponse aux incidents doit également être améliorée. Le resserrement des politiques organisationnelles de PowerShell est un autre moyen de lutter contre la menace.
