La technique ClickFix s’est imposée en 2025 comme une méthode d’attaque prépondérante, adoptée par un large spectre d’acteurs malveillants, allant des cybercriminels à motivation financière aux groupes étatiques, et ce pour plusieurs raisons : peu d’investissement technique, une forte réutilisabilité des kits et une automatisation poussée de la production de pages malveillantes maximisent le rendement par campagne.

En capitalisant sur des interfaces familières (CAPTCHA, écrans de mise à jour, pages de sécurité factices) et sur des actions réalisées par l’utilisateur lui-même, ClickFix contourne une partie des contrôles défensifs traditionnels et améliore le taux de conversion des attaques en accès effectifs au système, ce qui en fait un vecteur particulièrement attractif dans une logique de marché cybercriminel industrialisé.

Ingénierie sociale et ClickFix : manipulation active des utilisateurs

Cette méthode d’ingénierie sociale consiste à tromper l’utilisateur pour qu’il exécute lui-même des commandes malveillantes, en exploitant sa confiance ou sa volonté de résoudre un problème technique apparent, souvent par le biais de faux CAPTCHA ou de prétendues vérifications de sécurité.

Le mode opératoire débute par une phase de leurre, disséminée via des campagnes de phishing, de la publicité malveillante (malvertising), ou des sites légitimes compromis. La victime est dirigée vers une page contrôlée par l’attaquant où, sous un faux prétexte, elle est incitée à copier-coller une commande dans un outil système comme PowerShell ou le terminal, notamment via Win+R.

L’utilisateur, convaincu d’exécuter une action légitime, provoque en fait l’infection de sa machine. L’efficacité du procédé réside dans sa faculté à déjouer les défenses techniques traditionnelles en exploitant la confiance et la participation active de la victime, transformant ainsi l’humain en maillon d’exécution plutôt qu’en barrière de sécurité.

L’une des campagnes les plus marquantes observées en 2025, baptisée PHALT#BLYX et identifiée par les analystes de Securonix, met en lumière l’exploitation de la technique ClickFix au cœur d’une opération spécifiquement dirigée contre des organisations du secteur hôtelier.

Cette campagne exploitait des visuels trompeurs tels que de faux CAPTCHA et de fausses erreurs système (BSOD) pour inciter les victimes à exécuter manuellement une commande PowerShell. Le scénario d’attaque reposait sur de fausses notifications d’annulation de réservation hôtelière simulant un débit élevé, redirigeant les victimes vers un clone de site de réservation en ligne imitant fidèlement l’original.

L’infection aboutissait à l’installation d’un outil d’accès à distance (RAT), offrant aux attaquants un contrôle total sur le système compromis. Les attaquants ancrent fréquemment leurs campagnes dans des contextes temporels stratégiques, profitant de périodes de forte activité pour maximiser l’impact de leurs opérations. L’opération aurait débuté quelques mois avant les fêtes de fin d’année 2025, période particulièrement propice à ce type de fraude ciblant les acteurs du tourisme.

De la cybercriminalité à la guerre informationnelle : un outil commun

Cette technique connaît aujourd’hui une diffusion particulièrement large, attestant de son efficacité et de sa polyvalence. Elle est mobilisée aussi bien par des acteurs cybercriminels cherchant à maximiser leurs gains financiers que par des groupes à parrainage étatique poursuivant des finalités stratégiques, qu’il s’agisse d’espionnage, de collecte d’informations sensibles ou de perturbation d’infrastructures ciblées.

● Le groupe nord-coréen Lazarus a utilisé cette technique dans sa campagne « ClickFake Interview » pour dérober des cryptomonnaies, ciblant des professionnels de la FinTech avec de fausses offres d’emploi. L’attaque visait à déployer la backdoor GolangGhost.

● Le groupe de ransomware Interlock a intégré ClickFix à son arsenal pour distribuer des infostealers comme LummaStealer et BerserkStealer en amont du déploiement de son ransomware, en utilisant des leurres de fausses mises à jour de navigateurs ou d’applications.

● Divers acteurs cybercriminels exploitent ClickFix pour distribuer un large éventail de malware, notamment les infostealers Lumma Stealer et Lampion, les RATs AsyncRAT et NetSupport RAT, ainsi que les loaders MintsLoader et Latrodectus. Le succès de la méthode a même conduit à la commercialisation de kits « ClickFix » sur des forums clandestins depuis la fin de l’année 2024.

● Des groupes à parrainage étatique tels que TA427 (Kimsuky) et TA450 (MuddyWater) sont également suspectés d’utiliser cette technique à des fins d’espionnage.

En matière de détection et d’analyse forensique, les attaques reposant sur ClickFix laissent malgré tout des traces techniques qui peuvent être exploitées. Lorsqu’un utilisateur lance une commande via la fenêtre « Exécuter » (Win+R), celle-ci est enregistrée dans une zone spécifique du système, la clé de registre RunMRU, ce qui permet de retracer a posteriori les commandes saisies et de mettre en évidence un comportement suspect.

Certains attaquants cherchent toutefois à limiter cette visibilité en passant par le menu d’accès rapide (Win+X) pour exécuter leur code, afin de ne pas apparaître dans cet historique.

Cette tentative d’évasion n’est cependant pas totalement efficace : une analyse attentive des journaux d’événements de Windows, ou l’usage de solutions de sécurité avancées de type EDR, permettent encore d’identifier la création de processus inhabituels ou suspects. Pris ensemble, ces éléments montrent que, malgré la sophistication de l’ingénierie sociale mobilisée par ClickFix, l’attaque continue de produire des artefacts exploitables, qui doivent être systématiquement intégrés aux pratiques d’investigation et de détection.

*Lucien Chaya Podeur est expert en cybersécurité chez XMCO

The post ClickFix et l’exploitation du geste de confiance de l’utilisateur appeared first on Silicon.fr.