Les cybercriminels ont franchi une nouvelle étape dans la furtivité. Des campagnes d’attaques par ingénierie sociale, connues sous le nom de ClickFix, exploitent désormais les requêtes DNS comme un canal de livraison de code malveillant. Cette méthode, observée par les chercheurs de Microsoft, marque une première et démontre une évolution inquiétante de ces menaces qui visent à faire des victimes les agents de leur propre infection.
Comment fonctionne cette nouvelle attaque DNS ?
Le mode opératoire de cette campagne repose sur une manipulation habile des outils système légitimes. Les attaquants trompent leurs cibles, souvent via de fausses pages de vérification CAPTCHA ou des messages d’erreur factices, pour les convaincre d’exécuter manuellement une commande spécifique dans la boîte de dialogue « Exécuter » de Windows. Cette commande n’est pas une simple ligne de code, mais un véritable tour de passe-passe technique.
Microsoft Defender researchers observed attackers using yet another evasion approach to the ClickFix technique: Asking targets to run a command that executes a custom DNS lookup and parses the `Name:` response to receive the next-stage payload for execution. pic.twitter.com/NFbv1DJsXn
— Microsoft Threat Intelligence (@MsftSecIntel) February 13, 2026
La commande lancée utilise l’utilitaire nslookup pour effectuer une requête sur un DNS spécifique, contrôlé par l’attaquant. Au lieu de renvoyer une adresse IP, la réponse du serveur est un champ « Name: » contenant la charge utile de second niveau : un script PowerShell. Ce script est alors automatiquement exécuté par l’interpréteur de commandes Windows, déclenchant la phase suivante de l’infection à l’insu de l’utilisateur.
Quel est le but final de l’infection ?
Une fois le script PowerShell activé, il initie une chaîne d’infection complexe. La première étape consiste à télécharger une archive ZIP depuis une infrastructure contrôlée par les pirates. Ce fichier contient une version portable de Python ainsi que des scripts malveillants conçus pour effectuer une reconnaissance approfondie du système et du domaine infectés.
Pour assurer sa survie sur la machine, le malware établit ensuite sa persistance. Il dépose un fichier VBScript dans le dossier `%APPDATA%` et crée un raccourci `.lnk` dans le dossier de démarrage de Windows. Le résultat final est le déploiement de ModeloRAT, un cheval de Troie d’accès à distance (RAT) qui donne aux attaquants le contrôle total de l’ordinateur compromis.
Pourquoi cette méthode est-elle particulièrement dangereuse ?
L’utilisation du DNS comme canal de communication et de livraison rend cette attaque particulièrement difficile à détecter. Le trafic DNS est omniprésent et essentiel au fonctionnement d’Internet, ce qui permet aux activités malveillantes de se fondre dans la masse des requêtes légitimes. Cette technique d’évasion des défenses contourne les solutions de sécurité qui se concentrent principalement sur le trafic web HTTP/HTTPS.
? 1/ ? What if a Google Sponsored result for a common macOS query led to malware? That’s happening right now and 15K+ people have already seen it.
We at @MoonlockLab observed 2 variants today abusing legitimate platforms for ClickFix delivery: a @AnthropicAI public artifact on… pic.twitter.com/e1ocnQPmV4— Moonlock Lab (@moonlock_lab) February 11, 2026
De plus, cette approche offre aux attaquants une grande flexibilité. Ils peuvent modifier à la volée la charge utile livrée via la réponse DNS, adaptant ainsi leurs outils en temps réel. En transformant un protocole de confiance en arme, les pirates exploitent la confiance procédurale des utilisateurs, qui sont souvent habitués à suivre des instructions techniques pour résoudre de prétendus problèmes.
Cette technique s’inscrit-elle dans une tendance plus large ?
Cette innovation n’est que le dernier exemple de l’évolution rapide des attaques ClickFix. Au cours de la dernière année, les cybercriminels ont multiplié les variantes, comme « ConsentFix », qui abuse de l’interface de ligne de commande Azure pour détourner des comptes Microsoft en contournant l’authentification multifacteur. L’ingénierie sociale reste au cœur de ces campagnes, qui exploitent de plus en plus la popularité des plateformes d’IA.
Des services comme ChatGPT, Claude ou Grok sont détournés pour héberger de faux guides ou des instructions malveillantes, distribués ensuite via des résultats sponsorisés sur les moteurs de recherche. Cette stratégie combine la crédibilité d’une plateforme connue avec la puissance de la publicité pour piéger des utilisateurs, y compris les plus techniques, soulignant la nécessité d’une vigilance constante face à des menaces en perpétuelle mutation.
Foire Aux Questions (FAQ)
Qu’est-ce qu’une attaque ClickFix ?
Il s’agit d’une technique d’ingénierie sociale où les attaquants persuadent un utilisateur d’exécuter lui-même des commandes malveillantes sur son propre appareil. Le prétexte est souvent de corriger une fausse erreur, de passer une vérification de sécurité ou d’installer une mise à jour inexistante.
Comment se protéger contre ce type de menace ?
La première défense est la méfiance. Ne copiez et n’exécutez jamais de commandes provenant de sources non fiables, même si elles semblent provenir d’un site légitime. Assurez-vous que vos logiciels de sécurité sont à jour et capables de détecter les scripts malveillants. Enfin, sensibilisez-vous et vos équipes aux techniques d’ingénierie sociale.
Pourquoi l’utilisation du DNS rend-elle cette attaque innovante ?
Le DNS est un protocole fondamental du réseau, rarement surveillé pour la livraison de code malveillant. En cachant des scripts dans les réponses DNS, les attaquants rendent leur trafic quasi invisible pour de nombreuses solutions de sécurité traditionnelles, qui se concentrent sur les téléchargements de fichiers via le web.