ClickFix : comment des faux écrans BSOD Windows poussent au malware (Guide de prévention 2025)

Églantine Montclair

Une nouvelle campagne de phishing ciblant le secteur de l’hôtellerie en Europe utilise une technique redoutable : des écrans de plantage Windows (BSOD) entièrement faux pour inciter les victimes à exécuter elles-mêmes des commandes malveillantes. Cette attaque, baptisée “PHALT#BLYX” par les chercheurs de Securonix, démontre une sophistication inquiétante dans l’ingénierie sociale. Ces techniques rappellent les stratégies employées par les cyber-opérateurs iraniens qui menacent l’Occident, avec des récompenses allant jusqu’à 10 millions de dollars pour les informations sur leurs activités.

Le scénario est déroutant de simplicité et d’efficacité. Des e-mails usurpant l’identité de Booking.com annoncent une annulation de réservation coûteuse, créant une pression immédiate sur le personnel récepteur. Le lien conduit à un site parfaitement cloné. Lors de la navigation, une erreur de chargement fictive apparaît, suivie d’un écran BSOD complet qui prend le contrôle du navigateur. L’instruction finale est glaçante : copier une commande PowerShell dans le presse-papiers et l’exécuter pour “régler le problème”. En réalité, l’utilisateur vient de compiler et de lancer un RAT (Remote Access Trojan) nommé DCRAT, offrant aux attaquants un contrôle total sur le système.

Face à cette menace hybride combinant usurpation visuelle et manipulation psychologique, il est crucial de comprendre le mécanisme de l’attaque ClickFix. Voici une analyse détaillée de son fonctionnement et les mesures à adopter pour sécuriser vos équipes et vos infrastructures en 2025.

Le mécanisme de l’attaque ClickFix : de l’e-mail au compromis total

L’attaque ClickFix repose sur une chaîne de confiance soigneusement orchestrée où chaque maillon est conçu pour déjouer la vigilance habituelle. Contrairement aux attaques automatisées classiques, celle-ci demande une interaction humaine pour finaliser l’infection, ce qui la rend d’autant plus insidieuse.

L’appel initial : l’usurpation d’urgence

Tout commence par un e-mail ciblant spécifiquement les hôtels, auberges ou gestionnaires de locations touristiques. L’expéditeur se fait passer pour un client Booking.com annulant une réservation imminente ou récente, souvent pour un montant élevé (plusieurs centaines ou milliers d’euros).

Cette somme importante n’est pas un hasard : elle sert à déclencher une réponse émotionnelle immédiate. Le gestionnaire hôtelier se sent responsable d’une perte financière potentielle pour son établissement et se précipite pour “résoudre” le problème. Cette urgence perçue brise les barrières de la prudence numérique.

Le piège visuel : un clone parfait

Le lien dans l’e-mail redirige vers un domaine frauduleux, tel que low-house[.]com, hébergeant ce que Securonix qualifie de “clone à haute fidélité” de Booking.com. Les attaquants ne se contentent pas de copier le logo ; ils reproduisent fidèlement la palette de couleurs, les polices de caractères et la mise en page.

Pour un œil non averti, et surtout sous le stress d’une urgence professionnelle, la différence est imperceptible. C’est sur ce site que la mécanique de l’attaque ClickFix se met en place.

Le déclencheur : une erreur qui n’en est pas une

Une fois sur le site cloné, un script JavaScript malveillant simule un problème de chargement. Une fenêtre d’erreur indique que “Le chargement prend trop de temps” et propose un bouton pour actualiser la page.

C’est le premier piège psychologique : l’utilisateur pense effectuer une action normale et sans risque (rafraîchir une page web).

Le piège technique : le faux BSOD qui prend tout l’écran

Au clic sur le bouton d’actualisation, le navigateur bascule en mode plein écran et affiche une simulation d’écran de plantage Windows (Blue Screen of Death - BSOD). Cet écran affiche des codes d’erreur et un message indiquant que le système a rencontré un problème critique.

Cette technique joue sur deux leviers :

  1. La peur d’une panne matérielle ou logicielle grave.
  2. L’habituation : les utilisateurs sont habitués à ce que Windows affiche des écrans spécifiques lors de problèmes.

Cependant, un véritable BSOD ne propose jamais de solutions actives directes sur l’écran lui-même, seulement un redémarrage. L’absence de ce détail crucial est souvent ignorée par les victimes sous pression.

L’exécution du malware : quand la victime devient l’outil de l’attaquant

C’est ici que l’attaque diffère radicalement du phishing traditionnel. Au lieu d’un téléchargement automatique, l’attaquant demande à la victime d’agir manuellement.

L’instruction fatale : copier-coller et exécuter

Le faux écran BSOD affiche des instructions précises pour “récupérer” le système :

  1. Ouvrir la boîte de dialogue “Exécuter” de Windows (Touche Windows + R).
  2. Coller le contenu fourni (via Ctrl+V).
  3. Valider en appuyant sur Entrée.

Le contenu collé est une commande PowerShell complexe et encodée, souvent masquée par des caractères aléatoires pour échapper aux filtres de sécurité basiques.

La phase d’infection silencieuse

Lorsque la commande est exécutée, plusieurs processus se lancent simultanément :

  • Décoy : Une page admin Booking.com légitime (mais locale ou factice) s’ouvre pour satisfaire visuellement l’utilisateur et lui faire croire que la procédure fonctionne.
  • Téléchargement : Un projet .NET (v.proj) est téléchargé en arrière-plan.
  • Compilation : L’outil légitime MSBuild.exe de Windows est détourné pour compiler ce projet. C’est une technique dite de “Living off the Land” (LotL), utilisant des outils système légitimes pour éviter les antivirus.

Prise de contrôle et persistance

Le malware compilé (un exécutable nommé staxs.exe) est en réalité le DCRAT (DarkCrystal Remote Access Trojan). Une fois lancé, il effectue les actions suivantes :

  1. Éviter la détection : Il ajoute des exclusions dans Windows Defender pour se protéger.
  2. Élévation de privilèges : Il déclenche des invites UAC (Contrôle de compte d’utilisateur) pour obtenir les droits administrateur.
  3. Téléchargement du chargeur : Il utilise le service BITS (Background Intelligent Transfer Service) pour récupérer le chargeur principal, difficile à bloquer car ce service est essentiel au fonctionnement de Windows.
  4. Persistance : Il crée un fichier .url dans le dossier de démarrage de l’utilisateur pour se relancer à chaque connexion.

Le malware s’injecte ensuite dans un processus légitime (aspnet_compiler.exe) via une technique de “process hollowing” (forage de processus), s’exécutant directement en mémoire sans laisser de traces sur le disque dur. Cette infiltration silencieuse s’inscrit dans la recrudescence des menaces zombies et des attaques internes qui ciblent les infrastructures critiques.

Les capacités du malware DCRAT déployé

Une fois installé, le DCRAT offre aux cybercriminels un contrôle quasi total sur la machine infectée, qui devient une porte d’entrée vers le réseau de l’entreprise.

Fonctionnalités de surveillance et d’exfiltration

Le malware communique immédiatement avec son serveur de commande et de contrôle (C2) pour envoyer une empreinte complète du système (fingerprinting). Ses capacités incluent :

  • Bureau à distance (RDP) : Visualisation et contrôle total de l’écran de la victime.
  • Keylogging : Enregistrement de toutes les frappes au clavier pour voler mots de passe et informations sensibles.
  • Shell inversé : Exécution de commandes arbitraires sur le système.
  • Charge utile en mémoire : Possibilité de télécharger et lancer d’autres logiciels malveillants sans trace disque.

Dans la campagne observée par Securonix, les attaquants ont rapidement déployé un mineur de cryptomonnaie, profitant de la puissance de calcul de la machine infectée. Cependant, la porte ouverte permet tout type d’attaque secondaire.

Comment se protéger contre le ClickFix et l’ingénierie sociale avancée (2025)

L’efficacité de l’attaque ClickFix ne réside pas dans une faille logicielle, mais dans l’exploitation des processus humains et des confiances établies. La défense doit donc être multidimensionnelle.

1. Sensibilisation et formation des équipes

La première ligne de défense reste l’utilisateur. Il est impératif de former le personnel, surtout en hôtellerie et secteurs de service, à reconnaître ces signaux d’alerte :

  • Incohérence : Un écran BSOD dans un navigateur web est techniquement impossible. Un véritable plantage système ferait planter l’ordinateur, pas afficher une page web.
  • Instructions manuelles : Aucune entreprise légitime ne demandera jamais à un utilisateur d’ouvrir PowerShell et d’exécuter une commande copiée-collée.
  • Pression financière : Les e-mails créant un sentiment d’urgence ou de perte financière doivent toujours être vérifiés via un canal alternatif (appel téléphonique au client, vérification directe sur la plateforme Booking.com).

2. Durcissement des configurations techniques

Il est possible de limiter drastiquement les vecteurs d’attaque via des configurations de sécurité strictes :

  • Restreindre PowerShell : Utiliser l’AppLocker ou les stratégies de sécurité Windows pour limiter l’exécution de scripts PowerShell aux administrateurs uniquement, ou désactiver l’accès pour les comptes standards.
  • Supprimer les droits d’administration : La majorité des employés n’ont pas besoin de droits administrateur pour leurs tâches quotidiennes. En cas d’infection, le malware ne pourra pas élever ses privilèges ou désactiver l’antivirus.
  • Bloquer les téléchargements BITS : Si non indispensable, désactiver le service BITS sur les postes clients ou limiter ses accès réseau.

3. Protection navigateur et filtrage réseau

  • Extensions de sécurité : Déployer des extensions qui bloquent les basculements en plein écran non sollicités ou qui détectent les comportements de phishing.
  • Filtrage DNS et Web : Bloquer les domaines connus pour héberger des clones ou des commandes malveillantes. Les solutions de sécurité web modernes (SSE/SWG) peuvent analyser le contenu des pages pour détecter les faux BSOD.

4. Surveillance et réponse (EDR/XDR)

Puisque l’attaque utilise des outils légitimes (MSBuild.exe, PowerShell), la surveillance doit se baser sur le comportement :

  • Surveillance de l’activité PowerShell : Alertes sur les commandes encodées ou tentatives de téléchargement de fichiers.
  • Analyse de MSBuild.exe : MSBuild ne devrait pas télécharger de projets depuis Internet. Toute activité réseau sortante de ce binaire est suspecte.

Tableau comparatif : ClickFix vs. Phishing Classique

CaractéristiquePhishing ClassiqueAttaque ClickFix
Vecteur d’attaquePièce jointe malveillante ou lien de téléchargement.E-mail suivi d’une interaction web complexe.
Action requiseClic sur un lien (souvent automatique).Copier une commande, coller et exécuter manuellement.
Détection techniqueFiltres anti-spam, scan de pièces jointes.Difficile (utilisation d’outils légitimes, pas de fichier initial).
VisuelPage de connexion factice.Clone de site + Faux écran système (BSOD).
DépendanceFaille logicielle ou erreur de clic.Ingénierie sociale pure et pression psychologique.

“L’astuce de ce malware réside dans l’inversion des responsabilités : l’utilisateur pense réparer son ordinateur alors qu’il l’infecte activement. C’est une attaque psychologique avant d’être une attaque technique.” — Analyste de cybersécurité, Securonix.

Exemple de scénario d’attaque réel

Imaginons Madame Dubois, gestionnaire d’un petit hôtel de charme à Bordeaux. Un lundi matin chargé, elle reçoit un e-mail de “support@booking-alerts[.]com” :

Objet : Urgent - Annulation réservation #84920 - Remboursement de 1 200€ requis.

Stressée par la perte financière, elle clique. Le site est identique à celui qu’elle utilise tous les jours. Soudain, l’écran “gèle” et affiche un faux BSOD bleu avec des lignes de code. Paniquée, elle lit : “Pour restaurer le système, ouvrez Exécuter (Win+R), collez la commande ci-dessous et appuyez sur OK.”

Elle suit les instructions. La page Booking.com s’ouvre, elle pense avoir résolu le problème. En réalité, le DCRAT s’installe silencieusement. Quelques jours plus tard, des factures étranges apparaissent sur le compte bancaire de l’hôtel, et des fichiers sont verrouillés par un ransomware. La porte d’entrée était ce faux BSOD.

Conclusion : la vigilance humaine comme rempart ultime

L’attaque ClickFix marque une évolution notable dans les stratégies de cybercriminalité. En combinant une usurpation visuelle parfaite à une manipulation psychologique poussée, elle transforme l’utilisateur en complice actif de sa propre compromission.

Les solutions purement techniques ne suffisent plus si l’humain est le maillon faible. Renforcer la formation, instaurer une culture de la vérification systématique (surtout en cas d’urgence financière) et restreindre techniquement les capacités d’exécution des scripts sur les postes de travail sont les trois piliers de la défense contre ce type de menace émergente. Pour anticiper les perspectives cybersecurité 2026 et les défis à anticiper, une approche proactive est indispensable.

Prochaine étape recommandée : Mettez en place dès aujourd’hui un test de simulation d’attaque ClickFix auprès de vos équipes sensibles. Vérifiez qui tombe dans le piège et quelles leçons peuvent être tirées pour renforcer vos procédures de sécurité.