Home Sciences et technologiesNouvelle arnaque ClickFix cible Windows Terminal
Sciences et technologies

Nouvelle arnaque ClickFix cible Windows Terminal

by Louis Girard - Tech
written by Louis Girard - Tech

ClickFix : L’arnaque évolue et utilise Windows Terminal pour voler vos identifiants

Une nouvelle variante de l’escroquerie ClickFix, qui sévit depuis plus d’un an, prend une tournure inquiétante. Les cybercriminels incitent désormais les utilisateurs de Windows à lancer manuellement Windows Terminal et à y coller des commandes malveillantes. En d’autres termes, ils confient aux victimes la tâche d’activer elles-mêmes le logiciel espion Lumma, ouvrant ainsi la porte à un vol d’identifiants de navigateurs.

Comment fonctionne la nouvelle attaque ClickFix ?

Selon Microsoft Threat Intelligence, cette campagne, apparue en février, modifie la tactique habituelle de ClickFix pour contourner certaines protections de sécurité. Traditionnellement, les escrocs demandaient aux victimes d’ouvrir la boîte de dialogue Exécuter (Win + R) et de coller une commande fournie. Désormais, ils redirigent les utilisateurs vers Windows Terminal, accessible via le raccourci Windows + X, puis la touche I.

Ce changement est stratégique. Les outils de sécurité sont de plus en plus performants pour détecter les activités suspectes lancées depuis la boîte de dialogue Exécuter. Windows Terminal, en revanche, est un outil d’administration légitime, utilisé quotidiennement par de nombreux développeurs. Il se fond donc plus facilement dans l’activité normale du système, ce qui rend sa détection plus difficile.

Bon à savoir : L’ingénierie sociale reste au cœur de cette attaque. Les victimes sont attirées sur des pages web imitant des invites de vérification, des CAPTCHA ou des guides de dépannage, où on leur demande de copier-coller une commande.

La chaîne d’infection : de la commande PowerShell à Lumma Stealer

La commande copiée est en réalité un script PowerShell complexe qui déclenche une série d’événements. Microsoft a identifié deux principaux chemins d’infection :

  • Chemin 1 : La commande décompresse et exécute 7-Zip, puis extrait une charge utile compressée. Cette charge utile installe des composants pour assurer la persistance, manipuler les exclusions de Microsoft Defender et collecter des données système et de navigateur. Enfin, elle déploie Lumma Stealer, qui vole les identifiants stockés dans Chrome et Edge.
  • Chemin 2 : La commande exécute un script batch qui supprime un fichier VBScript et l’exécute via MSBuild. Ce script utilise ensuite l’infrastructure de la blockchain de crypto-monnaie (une technique surnommée “EtherHiding”) avant de lancer la collecte d’identifiants.
Le saviez-vous ? Les campagnes ClickFix exploitent la confiance des utilisateurs en leur faisant croire qu’ils exécutent une commande légitime dans un environnement sécurisé (Windows Terminal).

Pourquoi cette attaque est-elle si efficace ?

La réussite de ClickFix repose sur une tactique simple mais redoutablement efficace : persuader les utilisateurs d’exécuter eux-mêmes le code malveillant. En se fondant sur des outils légitimes comme Windows Terminal, l’attaque contourne les défenses traditionnelles et profite de la crédulité des utilisateurs.

Tendances futures et perspectives

Cette évolution de ClickFix illustre une tendance plus large : les cybercriminels s’adaptent constamment pour contourner les mesures de sécurité. On peut s’attendre à ce que :

  • L’utilisation d’outils légitimes se généralise : Les attaquants continueront d’exploiter des outils d’administration système courants pour masquer leurs activités malveillantes.
  • Les techniques d’obfuscation deviennent plus sophistiquées : Les scripts PowerShell et autres codes malveillants seront de plus en plus complexes, rendant leur analyse plus difficile.
  • L’ingénierie sociale reste primordiale : La manipulation psychologique des utilisateurs restera la clé du succès de ces attaques.

FAQ – Questions fréquentes sur ClickFix

  • Qu’est-ce que ClickFix ? Une escroquerie qui incite les utilisateurs à exécuter des commandes malveillantes en se faisant passer pour des étapes de vérification ou de dépannage.
  • Comment puis-je me protéger contre ClickFix ? Soyez extrêmement prudent face aux demandes de copier-coller des commandes, même si elles proviennent de sources apparemment légitimes.
  • Que faire si je pense avoir été victime de ClickFix ? Analysez votre système avec un antivirus à jour et changez immédiatement vos mots de passe.
  • Windows Terminal est-il dangereux ? Non, Windows Terminal est un outil légitime. Le danger réside dans l’exécution de commandes inconnues ou suspectes à l’intérieur de cet outil.

En tant qu’analyste de la sécurité informatique, je vous encourage à rester vigilant et à sensibiliser votre entourage à ces menaces. La meilleure défense contre ClickFix et les attaques similaires reste la prudence et la formation.

Pour en savoir plus sur les dernières menaces et les bonnes pratiques en matière de sécurité, n’hésitez pas à consulter nos autres articles et à vous abonner à notre newsletter.

Journaliste scientifique, spécialisé en innovation, intelligence artificielle et environnement.

You may also like

AbSciCon26 : à la recherche de technosignatures et...

OnePlus lance en mai 2026 un smartphone Nord...

IA fitness : des coachs virtuels promettent des...

Huawei Watch D2 révolutionne les wearables : mesure...

Winnie Ye : le jeu booste l’épanouissement des...

Google révolutionne Android Auto avec une IA proactive...

Manon donne ses ovocytes : la pénurie d’ovocytes...

UUfie réinvente un chalet ontarien en maison fluide...

Crâne de stégosaure le plus complet de 150...

Galaxy S24 explose en Corée : batterie au...

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.