Attaque ClickFix : Comment les faux écrans de panique Windows (BSOD) compromettent vos systèmes
Orphée Grandsable
Une nouvelle vague d’attaques sophistiquées, baptisée ClickFix, cible activement le secteur de l’hôtellerie en Europe dès la fin de l’année 2025. Cette campagne de ingénierie sociale utilise des écrans de panique Windows (Blue Screen of Death ou BSOD) entièrement factices pour piéger les utilisateurs et les inciter à exécuter manuellement des commandes malveillantes.
Contrairement aux menaces automatisées classiques, cette technique repose sur la manipulation psychologique de la victime, qui devient complice de l’infection de sa propre machine. Selon les données de sécurité récentes, le secteur de l’hôtellerie reste une cible privilégiée en 2025 en raison de la criticité des données traitées et de la pression opérationnelle constante, comme le démontre l’ampleur des fuites de données dans le secteur de la santé.
Le mécanisme de l’ingénierie sociale ClickFix
Les attaques ClickFix se distinguent par leur approche “assistée”. Au lieu d’exploiter une faille technique invisible, l’attaquant présente à la victime une erreur apparente et lui fournit les instructions pour la “réparer”. C’est un renversement de perspective audacieux.
L’initiation par le phishing
La chaîne d’infection débute classiquement par un courriel de phishing. Dans la campagne observée par les chercheurs de Securonix (désignée sous le nom de PHALT#BLYX), les attaquants usurpent l’identité de Booking.com.
Le message informe un établissement hôtelier d’une annulation de réservation coûteuse. L’urgence financière créée pousse le personnel à agir rapidement sans vérifier la provenance du lien.
Le piège de la fausse plateforme
Le lien contenu dans l’email redirige vers un site hébergé sur un domaine frauduleux (par exemple, low-house[.]com). Ce site est une réplique quasi parfaite de l’interface officielle de Booking.com, utilisant les mêmes polices, couleurs et logos.
Une fois sur le site, le script JavaScript malveillant déclenche un premier message d’erreur : “Le chargement prend trop de temps”. C’est le leurre pour amener la victime à cliquer sur un bouton de rafraîchissement.
L’exploitation de la confiance : le faux écran BSOD
C’est ici que la technique devient particulièrement insidieuse. Le clic sur le bouton ne rafraîchit pas la page, mais lance un mode plein écran affichant un écran de panique Windows (BSOD) factice.
Pourquoi cela fonctionne-t-il ?
La plupart des utilisateurs associent le BSOD à une panique système critique. Cependant, un véritable écran de panique ne propose jamais de solution pour corriger l’erreur ; il indique simplement que le système doit redémarrer.
Le faux BSOD de l’attaque ClickFix ajoute une étape malveillante : il demande à l’utilisateur d’ouvrir la boîte de dialogue “Exécuter” (Windows Run) et de coller une commande (via CTRL+V) préalablement copiée dans le presse-papiers.
L’illusion de la réparation
La victime, pensant résoudre un problème technique urgent, valide ensuite la commande en appuyant sur Entrée. Elle ignore souvent que la commande a été copiée automatiquement dans son presse-papiers par le script JavaScript du site frauduleux.
Analyse de la charge utile (Payload)
L’exécution de la commande déclenchée par le faux BSOD ne répare rien : elle initie une séquence d’infection complexe et silencieuse.
La phase d’amorçage
La commande PowerShell exécutée effectue plusieurs actions immédiates :
- Elle ouvre une page de décoy Booking.com pour maintenir l’illusion de normalité pour l’utilisateur.
- Elle télécharge en arrière-plan un projet .NET malveillant (
v.proj). - Elle utilise le compilateur légitime de Windows (
MSBuild.exe) pour compiler ce projet. Cette technique, appelée Living off the Land (LotL), permet de contourner les solutions de sécurité classiques qui ne surveillent pas toujours les processus systèmes légitimes.
L’installation du DCRAT
Le malware final déployé est identifié comme étant le DCRAT (Dark Crystal Remote Access Trojan), un RAT puissant et polyvalent.
Voici les étapes d’installation typiques observées :
- Éviction des défenses : Le malware ajoute des exclusions dans Windows Defender pour ne pas être détecté.
- Élévation de privilèges : Il déclenche des invites UAC (Contrôle de compte d’utilisateur) pour obtenir les droits administrateur.
- Persistance : Il dépose un fichier
.urldans le dossier de démarrage Windows pour se relancer à chaque boot. - Injection mémoire : Le processus malveillé (
staxs.exe) est injecté dans un processus légitime (aspnet_compiler.exe) via une technique de Process Hollowing. Cela masque sa présence dans le gestionnaire de tâches.
Les capacités du DCRAT et l’impact sur l’entreprise
Une fois actif, le DCRAT offre au cybercriminel un contrôle total sur la machine infectée, et potentiellement sur tout le réseau hôtelier.
Fonctionnalités de l’attaquant
Le rapport de Securonix liste plusieurs modules dangereux :
- Bureau à distance (RDP) : Visualisation et contrôle de l’écran de la victime.
- Keylogger : Enregistrement de toutes les frappes au clavier (mots de passe, numéros de carte bancaire).
- Shell inverse : Exécution de commandes arbitraires.
- Exécution en mémoire : Chargement de payloads supplémentaires sans écrire de fichiers sur le disque.
Dans un cas observé, les attaquants ont déployé un mineur de cryptomonnaie, mais la porte ouverte permet également le vol de données sensibles des clients ou le déploiement de ransomwares. Ces techniques d’exploitation de cryptomonnaies s’inscrivent dans une évolution des arnaques par ingénierie sociale qui abuse des outils gratuits.
Tableau comparatif : Vrai BSOD vs Faux BSOD ClickFix
Pour aider les équipes de sécurité à former leurs employés, voici les différences fondamentales à repérer :
| Caractéristique | Vrai BSOD Windows | Faux BSOD ClickFix |
|---|---|---|
| Source | Système d’exploitation Windows (noyau). | Navigateur web (JavaScript). |
| Contexte | Crash matériel ou pilote critique. | Navigation sur un site frauduleux. |
| Instructions | Aucune. Demande de redémarrage. | Demande d’ouvrir Exécuter et coller une commande. |
| Copie de commande | Jamais. | Oui, via le presse-papiers. |
| Fermeture | Redémarrage forcé de la machine. | Fermeture de l’onglet ou du navigateur. |
Stratégies de prévention et de détection
Face à cette menace qui exploite la confiance et la méconnaissance des processus systèmes, une approche multi-couches est nécessaire.
1. Sensibilisation et formation (E-E-A-T)
L’élément humain reste la première ligne de défense. Il est crucial de former le personnel, notamment dans l’hôtellerie, à reconnaître ces signaux :
- Un écran de panique Windows dans un navigateur web est techniquement impossible. Un navigateur ne peut pas provoquer un crash système.
- Jamais un message d’erreur légitime ne demande à l’utilisateur de coller et exécuter une commande PowerShell.
2. Restreindre l’exécution de scripts
Les administrateurs système doivent durcir les politiques d’exécution de PowerShell sur les postes de travail, notamment via PowerShell Constrained Language Mode. Cette approche s’inscrit dans une stratégie plus large de prévention des vulnérabilités d’injection comme celles du botnet Rondodox. L’objectif est d’empêcher l’exécution de scripts non signés ou non approuvés.
3. Surveillance des processus “Living off the Land”
Il est impératif de surveiller l’activité des outils systèmes légitimes comme MSBuild.exe ou aspnet_compiler.exe. Si ces processus lancent des connexions réseau inhabituelles ou tentent d’accéder à des fichiers sensibles, une alerte doit être levée.
“L’attaque ClickFix démontre une fois de plus que la sophistication technique n’empêche pas le retour à des mécanismes psychologiques simples : l’urgence et l’autorité.” — Analyse d’un expert en cybersécurité.
4. Mise en place de l’analyse comportementale
Les solutions de sécurité modernes doivent détecter les anomalies comportementales, telles que :
# Exemple de détection d'activité suspecte (concept)
if (Process -Name "MSBuild" AND NetworkConnection -Destination "UnknownIP") {
Trigger_Alert("Potential DCRAT Compilation");
}
Mise en œuvre : Étapes pour sécuriser votre environnement
Si vous soupçonnez une exposition à ce type de menace ou souhaitez proactivement renforcer votre sécurité, suivez ces étapes :
- Auditez vos filtres de messagerie : Assurez-vous que les imitations de Booking.com ou d’autres plateformes de réservation sont bloquées au niveau du SPF, DKIM et DMARC.
- Revoquez les droits d’administration local : Les utilisateurs standards ne devraient pas pouvoir exécuter de commandes PowerShell sans validation d’un administrateur.
- Activez l’interface de sécurité Windows (Windows Security) : Vérifiez que la protection contre les falsifications (Tamper Protection) est active pour empêcher le malware de désactiver l’antivirus.
- Nettoyez le presse-papiers : Éduquez les utilisateurs à vider leur presse-papiers (
Windows + V) s’ils ont collé une commande inconnue. - Analysez les fichiers
.url: Surveillez la création de fichiers.urldans les dossiers%AppData%\Microsoft\Windows\Start Menu\Programs\Startup.
Conclusion : La vigilance face à l’illusion
L’attaque ClickFix exploitant les faux écrans BSOD est une leçon sur l’évolution des cybermenaces en 2025. Elle ne repose pas sur une faille zéro-day coûteuse, mais sur une excellente imitation et une manipulation de l’urgence.
Pour les entreprises françaises, notamment dans l’hôtellerie, la clé réside dans la détection des processus Living off the Land et dans une formation robuste des équipes. Comprendre qu’un écran de panique dans un navigateur est une impossibilité technique est la meilleure protection contre cette arnaque.
En adoptant une politique de défense en profondeur et en restant sceptique face aux demandes d’actions manuelles sur le système, vous réduisez drastiquement la surface d’attaque de ce type de campagne d’ingénierie sociale.