ClickFix attack uses fake Windows Update screen to push malware

2 minute de lecture

Mis à jour : November 25, 2025

La technique ClickFix : deception et malware caché dans les images

Des attaques sophistiquées, nommées ClickFix, exploitent la crédulité des utilisateurs en présentant une fausse page de mise à jour Windows en plein écran. Ces attaques incitent les victimes à exécuter des commandes malveillantes dans l’invite de commande Windows, conduisant à l’installation de logiciels espions tels que LummaC2 et Rhadamanthys.

La technique repose sur l’ingénierie sociale, poussant les utilisateurs à croire qu’ils doivent finaliser une mise à jour critique ou vérifier leur identité. Pour dissimuler le code malveillant, les attaquants utilisent la stéganographie, cachant la charge utile finale à l’intérieur d’images (fichiers PNG). Le code malveillant est encodé dans les données des pixels, puis reconstruit en mémoire via un processus complexe impliquant JavaScript, PowerShell et un assembleur .NET (Stego Loader) pour décrypter et extraire le code shell. Une technique d’évasion dynamique (“ctrampoline”) est employée pour masquer le point d’entrée du code malveillant.

Les vulnérabilités exploitées sont liées à la possibilité pour des scripts web de copier automatiquement du contenu dans le presse-papiers et à l’exécution de code via l’invite de commande ou des outils natifs de Windows. Les nouvelles variantes de ClickFix s’appuient sur de fausses pages de mise à jour Windows ou sur des écrans de “vérification humaine”.

Points Clés :

Ingénierie sociale : Tromper l’utilisateur avec des leurres convaincants comme des mises à jour Windows ou des vérifications humaines.
Automatisation de l’exécution : Utilisation de JavaScript pour copier des commandes dans le presse-papiers, et incitation à exécuter ces commandes.
Stéganographie : Dissimulation du malware à l’intérieur d’images (PNG).
Charge utile progressive : Utilisation de plusieurs étapes pour exécuter et décrypter le malware final.
Logiciels malveillants distribués : Principalement des voleurs d’informations (infostealers) comme LummaC2 et Rhadamanthys.

Vulnérabilités (non spécifiées avec CVEs dans l’article) :

La confiance des utilisateurs dans les notifications de mise à jour Windows.
La capacité de JavaScript à interagir avec le presse-papiers.
L’exécution de commandes via l’invite de commande Windows.

Recommandations :

Désactiver la fonctionnalité “Exécuter” (Run box) de Windows.
Surveiller les chaînes de processus suspectes, telles que explorer.exe lançant mshta.exe ou PowerShell.
Vérifier la clé de registre RunMRU lors d’enquêtes pour identifier les commandes précédemment entrées par l’utilisateur.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ClickFix attack uses fake Windows Update screen to push malware

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast