Selon le dernier rapport sur la défense numérique 2025 de Microsoft, les cybercriminels ont découvert une nouvelle astuce d'attaque, baptisée ClickFix. Il s'agit d'une tactique d'ingénierie sociale qui convainc les utilisateurs de s'infecter eux-mêmes. De plus, il a été souligné que cette tactique est devenue l’une des méthodes couramment utilisées par les pirates pour obtenir un premier accès.
Les attaques ClickFix sont plus courantes que vous ne le pensez
Depuis début 2024, Microsoft a signalé une forte augmentation du nombre d’attaques basées sur ClickFix. La méthode d'attaque est basée sur de nombreuses fausses fenêtres contextuelles, messages d'assistance ou alertes système qui invitent les utilisateurs à « résoudre » un problème en copiant et en collant du code dans la boîte ou le terminal Windows Run. Une fois l'invite ou le code exécuté, il télécharge les charges utiles malveillantes directement dans la mémoire de l'appareil.
Le malware étant injecté directement dans la mémoire, il laisse peu de traces à détecter par le logiciel antivirus. L’un des exemples mis en avant est l’incident de 2024 au cours duquel Booking.com a été usurpé pour mener des campagnes de phishing. Les victimes ont reçu de faux e-mails de confirmation de voyage menant à un site Web cloné avec une invite CAPTCHA.
Voici quelques moyens courants de rester protégé contre les attaques ClickFix
Microsoft a signalé que ClickFix représentait 47 % de tous les incidents d'accès initial enregistrés par son équipe Defender Experts au cours de l'année écoulée. Le géant de la technologie conseille aux organisations et aux individus de se concentrer sur la conscience comportementale. Principalement parce que ce qui rend ClickFix particulièrement dangereux, c'est que les utilisateurs s'infectent sans le savoir.
Il est suggéré aux utilisateurs et aux employés d'être formés pour ne jamais copier ou exécuter du code provenant de sources non vérifiées, même si l'invite semble légitime. Microsoft a exhorté les équipes informatiques à activer la journalisation PowerShell et à surveiller les actions du presse-papiers au terminal. Les équipes doivent également déployer des politiques de renforcement du navigateur pour bloquer les scripts malveillants avant leur exécution. Les utilisateurs doivent suivre des mesures de précaution, telles que vérifier la source ou éviter les installations tierces, sauf si cela est obligatoire. Il s'agit d'un cas rare où seules des précautions peuvent réellement sauver la vie.
