ClickFix ou comment les pirates vous font exécuter leur malware

ClickFix

Dans le paysage actuel des cybermenaces, les attaquants ne se contentent plus de propager des virus ou de pirater des réseaux : ils exploitent la psychologie humaine. La technique ClickFix en est un exemple alarmant. Contrairement aux attaques traditionnelles basées sur des fichiers infectés ou des liens piégés, ClickFix pousse les utilisateurs à exécuter eux-mêmes des commandes malveillantes, croyant résoudre un problème technique. Cette forme d’ingénierie sociale avancée transforme l’utilisateur en vecteur involontaire de la cyberattaque, tout en échappant à la plupart des outils de sécurité classiques.

Qu’est-ce que ClickFix ? 

ClickFix est une technique d'ingénierie sociale avancée. Elle consiste à convaincre un utilisateur de copier-coller dans son terminal (PowerShell, Terminal, etc.) une commande qui semble légitime, mais qui en réalité exécute un code malveillant. Ce code peut, par exemple :

  • télécharger et exécuter un logiciel espion (ex. : Lumma Stealer) ;

  • voler des informations sensibles (mots de passe, cookies, crypto-monnaies) ;

  • modifier des fichiers système ou désactiver des protections de sécurité.

L’originalité de cette attaque réside dans le fait que l'utilisateur est complice involontaire, croyant résoudre un problème informatique alors qu’il compromet sa propre machine.

ClickFix

La tactique ClickFix est utilisée par des sites malveillants se faisant passer pour Google Chrome, Facebook, PDFSimpli ou reCAPTCHA. (source: LOGPOINT

Comment fonctionne ClickFix ? 

Le schéma d’attaque typique se déroule en plusieurs étapes :

  1. Création d’un faux environnement : L’attaquant clone un site populaire (Google Docs, Microsoft Teams, GitHub, etc.) ou redirige la victime vers une page imitant un outil ou un service légitime.

  2. Affichage d’un faux message d’erreur : La page indique que le service ne peut pas s’exécuter correctement à cause d’un problème technique (ex : "Erreur de chargement du module").

  3. Fausse solution technique : Une instruction demande à l’utilisateur de coller une commande dans son terminal pour résoudre le problème.

  4. Exécution de la commande malveillante : Le code exécute un script distant, télécharge un fichier (souvent hébergé temporairement), installe un stealer ou un autre outil de piratage, puis supprime ses traces.

  5. Exfiltration de données : Le malware se connecte à un serveur contrôlé par les pirates pour transférer les informations récoltées.

Cette attaque est très difficile à détecter, car aucun fichier suspect n'est téléchargé au départ, et tout repose sur la crédibilité du message affiché.

Méthodes principales utilisées pour générer du trafic vers les pages ClickFix 

Les pirates mettent en œuvre diverses tactiques pour attirer des victimes vers leurs fausses pages :

  • Empoisonnement SEO : Ils créent de faux sites très bien référencés sur Google, utilisant des mots-clés recherchés (comme « crack logiciel », « extension Chrome », ou « erreur Teams »).

  • Utilisation de GitHub et Discord : Des messages prétendent offrir des solutions techniques ou des outils utiles, mais mènent en réalité à des scripts ClickFix.

  • Hébergement temporaire : Les commandes redirigent vers des services gratuits comme Transfer.sh ou Pastebin pour héberger les scripts malveillants. Cela permet d’éviter les détections automatiques.

  • Pages d’assistance factices : Des faux supports techniques avec logos professionnels peuvent tromper l’utilisateur.

  • Réseaux sociaux et forums techniques : Les hackers postent des solutions “utiles” qui se propagent rapidement parmi les utilisateurs peu méfiants.

ClickFix

Cycle de vie d’un malware utilisant ClickFix pour sa diffusion (Source :  GROUP IB)

Comment se protéger contre les attaques ClickFix ? 

Voici les mesures de protection essentielles contre cette méthode d’attaque :

  • Ne jamais copier : coller de commande depuis un site inconnu — même si la page semble officielle.

  • Vérifier la source : Si vous obtenez une instruction via Discord, un site GitHub non vérifié ou un lien court, soyez extrêmement méfiant.

  • Utiliser un antivirus avec analyse comportementale : Cela peut aider à détecter les scripts suspects après leur exécution.

  • Éduquer les utilisateurs : Dans une entreprise, la sensibilisation est la meilleure défense contre ce type d’attaque.

  • Activer les journaux de commandes : Cela permet de suivre toute action inhabituelle dans le terminal et facilite l'analyse post-incident.

  • Bloquer l’exécution de scripts non autorisés : Des politiques de sécurité système peuvent empêcher certains types de commandes ou scripts d’être exécutés automatiquement.

Conclusion 

ClickFix démontre à quel point l’ingénierie sociale peut surpasser les défenses techniques les plus robustes. L'utilisateur, pensant résoudre un problème, devient l'outil involontaire du pirate. Cette forme d’attaque est insidieuse, car elle repose sur la confiance et la méconnaissance technique.
Face à ces menaces, il ne suffit plus d’avoir un antivirus ou un pare-feu : il faut aussi former les esprits à douter, à vérifier, et à comprendre ce qu’ils exécutent. Car aujourd’hui, un simple clic peut suffire à ouvrir la porte à un vol massif de données.