ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures

2 minute de lecture

Mis à jour : June 16, 2026

Expansion des campagnes « ClickFix » : Nouveaux loaders et leurres de mises à jour

Les campagnes de type « ClickFix » connaissent une montée en puissance, utilisant des techniques d’ingénierie sociale pour tromper les utilisateurs et les inciter à exécuter des commandes PowerShell malveillantes. Ces attaques servent désormais de vecteur pour déployer trois nouveaux loaders distincts : BabaDeda, Lorem Ipsum et Potemkin.

Points clés

Mécanisme d’infection : Les victimes sont leurrées par de fausses alertes (ex: mise à jour de sécurité, vérification de navigateur) les invitant à copier-coller des commandes dans leur terminal, contournant ainsi certaines protections classiques.
Évolution des loaders : Les attaquants privilégient désormais des architectures modulaires séparant le stockage, l’exécution et le déploiement de la charge utile (payload) pour éviter la détection par les outils de sécurité.
Infrastructure : Utilisation croissante de sites WordPress compromis pour héberger les leurres, remplaçant les stratégies précédentes basées sur le SEO et les certificats numériques volés.
Cibles : Secteurs financier, éducatif, juridique et technologique. Les charges finales incluent des logiciels espions (infostealers), des RAT (Remote Access Trojans) et des rançongiciels (ex: Rhysida).

Vulnérabilités et techniques exploitées

Ingénierie sociale : Exploitation de la confiance des utilisateurs face à des instructions techniques (« pressez Win+R, collez, exécutez »).
DLL Side-Loading : Injection de bibliothèques malveillantes dans des processus Windows légitimes (ex: svchost.exe, mscoree.dll).
Contournement de sécurité : Utilisation de techniques avancées comme le chargement en mémoire de shellcode, l’usage de chiffrements personnalisés et le contournement de l’encryption liée aux applications de Chrome (ABE).
CVE : Aucune CVE spécifique n’est mentionnée, les attaques reposant sur le détournement d’outils légitimes et la manipulation humaine.

Recommandations

Sensibilisation : Éduquer les utilisateurs sur les risques liés au copier-coller de commandes système provenant de sources tierces ou de messages non sollicités.
Durcissement (Hardening) : Restreindre l’exécution de PowerShell via des politiques de groupe (GPO) et mettre en place une surveillance rigoureuse des processus suspects.
Protection des endpoints : Utiliser des solutions EDR capables de détecter les comportements anormaux liés au « side-loading » et à l’exécution de scripts PowerShell en mémoire.
Mises à jour système : Appliquer les dernières versions des systèmes d’exploitation (notamment macOS Tahoe 26.4 qui intègre des alertes de sécurité pour le copier-coller vers le terminal) pour bénéficier des protections natives contre ces méthodes.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures

Expansion des campagnes « ClickFix » : Nouveaux loaders et leurres de mises à jour

Points clés

Vulnérabilités et techniques exploitées

Recommandations

Partager sur

Vous pourriez aimer

Windows version of SprySOCKS Linux malware used to attack govt orgs

Expansion de SprySOCKS : Le groupe Earth Lusca cible Windows

UK to require ID or face scan before you can make social media accounts

Vers une interdiction des réseaux sociaux pour les moins de 16 ans au Royaume-Uni

Survey: 94% of Incidents Involve Anonymized Infrastructure. Teams Are Still Reactive

L’hégémonie des infrastructures anonymisées : passer de la réaction à la décision

Steam Workshop abused to spread malware via Wallpaper Engine app

Abus du Steam Workshop pour la diffusion de malwares via Wallpaper Engine