Publié le 15 février 2026 à 17h15. Microsoft alerte sur une nouvelle variante d’attaque d’ingénierie sociale, baptisée ClickFix, qui exploite une faille de confiance dans l’utilisation des commandes système pour installer discrètement des logiciels malveillants.
- Microsoft a révélé une nouvelle méthode d’attaque ClickFix utilisant le système de noms de domaine (DNS) pour diffuser des charges utiles malveillantes.
- Cette technique repose sur l’incitation des utilisateurs à exécuter des commandes via la boîte de dialogue « Exécuter » de Windows, en utilisant l’outil « nslookup » (recherche de serveur de noms).
- Les campagnes récentes exploitent également des leurres d’ingénierie sociale pour diffuser des voleurs d’informations et des chargeurs de logiciels malveillants, ciblant particulièrement les utilisateurs de macOS.
Les cybercriminels perfectionnent leurs tactiques d’ingénierie sociale, et la dernière en date, une évolution de la technique ClickFix, utilise une approche particulièrement sournoise. Microsoft a récemment mis en garde contre cette nouvelle variante qui exploite le système de noms de domaine (DNS) pour contourner les mesures de sécurité traditionnelles et installer des logiciels malveillants sur les systèmes des victimes.
ClickFix, une technique de plus en plus populaire, consiste à inciter les utilisateurs à exécuter des commandes qui semblent légitimes, mais qui en réalité téléchargent et exécutent des logiciels malveillants. La nouvelle version identifiée par Microsoft utilise l’outil « nslookup » – une commande permettant de rechercher les adresses IP associées à un nom de domaine – pour récupérer une charge utile malveillante dissimulée dans une réponse DNS personnalisée. L’attaque est déclenchée via la boîte de dialogue « Exécuter » de Windows, ce qui donne l’illusion d’une simple opération de dépannage.
Selon l’équipe Microsoft Threat Intelligence, la commande initiale s’exécute via cmd.exe et effectue une recherche DNS sur un serveur externe, plutôt que sur le résolveur DNS par défaut du système. La réponse DNS, filtrée, est ensuite exécutée comme une charge utile de deuxième étape. « Dans la dernière étape basée sur DNS utilisant ClickFix, la commande initiale s’exécute via cmd.exe et effectue une recherche DNS sur un serveur DNS externe codé en dur, plutôt que sur le résolveur par défaut du système », indique Microsoft sur X.
Cette méthode d’attaque a gagné en popularité ces deux dernières années car elle permet aux attaquants de profiter de la confiance des utilisateurs et de les amener à infecter eux-mêmes leurs propres machines. L’efficacité de ClickFix a engendré plusieurs variantes, telles que FileFix, JackFix, ConsentFix, CrashFix et GlitchFix, chacune adaptant la technique de base à de nouveaux scénarios d’attaque.
L’utilisation du DNS comme « canal de transfert ou de signalisation léger » permet aux attaquants d’atteindre leur infrastructure et d’ajouter une couche de validation avant d’exécuter la charge utile finale. Microsoft souligne que cette approche réduit la dépendance aux requêtes Web traditionnelles et permet d’intégrer plus facilement les activités malveillantes dans le trafic réseau normal.
Une fois la charge utile téléchargée, une chaîne d’attaque se met en place, conduisant au téléchargement d’une archive ZIP contenant un script Python malveillant. Ce script effectue une reconnaissance du système, exécute des commandes de découverte et supprime un script Visual Basic (VBScript) qui lance ModeloRAT, un cheval de Troie d’accès à distance basé sur Python, précédemment distribué via CrashFix. Pour assurer la persistance, un fichier de raccourci Windows (LNK) pointant vers le VBScript est créé dans le dossier de démarrage de Windows, garantissant ainsi le lancement automatique du logiciel malveillant à chaque démarrage du système d’exploitation.
Parallèlement, des chercheurs de Bitdefender mettent en garde contre une augmentation de l’activité du voleur de données Lumma, alimentée par des campagnes de phishing de style ClickFix qui déploient une version AutoIt de CastleLoader, un chargeur de logiciels malveillants associé au groupe de menaces GrayBravo (anciennement TAG-150). CastleLoader intègre des contrôles pour détecter la présence de logiciels de virtualisation et de programmes de sécurité avant de décrypter et d’exécuter le malware voleur en mémoire.
Les sites Web proposant des logiciels piratés et des films illégaux servent souvent de point de départ pour ces chaînes d’attaque basées sur CastleLoader, incitant les utilisateurs à télécharger des installateurs malveillants ou des exécutables se faisant passer pour des fichiers multimédias. Des campagnes similaires exploitent également la fonctionnalité de partage public de services d’intelligence artificielle générative comme Anthropic Claude pour diffuser des instructions ClickFix malveillantes, notamment via des résultats sponsorisés sur des moteurs de recherche comme Google.
Une analyse récente de Flare a révélé une augmentation des attaques ciblant Apple macOS avec des voleurs d’informations et des outils sophistiqués. Selon Flare, « presque tous les voleurs de macOS donnent la priorité au vol de crypto-monnaie par-dessus tout », en raison de la valeur élevée des portefeuilles cryptographiques et de l’irréversibilité des transactions.
Les experts soulignent que l’efficacité de ClickFix réside dans son abus de la confiance des utilisateurs, qui sont amenés à exécuter des commandes qu’ils croient légitimes. Les organisations doivent sensibiliser leurs utilisateurs à ces risques et mettre en place des mesures de détection spécifiques aux menaces ciblant macOS, telles que la surveillance de l’activité du terminal et des connexions aux nœuds de la blockchain.