Une nouvelle vague de cyberattaques cible les utilisateurs de Windows. Pour diffuser des virus voleurs de données, les pirates s’appuient sur deux variantes inédites de l’offensive ClickFix.
Une nouvelle vague de cyberattaques déferle sur Windows. Les chercheurs de Huntress ont en effet découvert de nouvelles variantes des attaques de type « ClickFix » à l’encontre des ordinateurs tournant sous Windows. Pour rappel, ce genre d’offensive consiste à manipuler les utilisateurs plutôt que d’exploiter des failles de sécurité. Les cybercriminels poussent leurs victimes à réaliser elles-mêmes des actions dangereuses, contournant ainsi les défenses et les dispositifs de sécurité.
À lire aussi : Alerte Windows – une faille critique du noyau est activement exploitée par des pirates
Deux nouvelles stratégies pirates à l’origine des cyberattaques
Depuis le 1ᵉʳ octobre 2025, les chercheurs en sécurité ont identifié deux nouvelles tactiques d’attaques reposant sur un mécanisme « ClickFix ». La première variante consiste à faire croire à la victime que l’installation d’une mise à jour de sécurité est en cours sur Windows. Les pirates affichent alors une fausse page web en plein écran qui copie les animations du système d’exploitation.
En se faisant passer pour Microsoft, les cybercriminels vont demander à la cible d’appuyer sur des touches spécifiques de son clavier dans un ordre bien précis. Cette combinaison de touches va copier du code Javascript malveillant dans le presse-papiers, et le coller dans l’invite de commandes. La manipulation va conduire à l’exécution de code malveillant sur l’ordinateur.
La deuxième stratégie identifiée par Huntress repose sur une fausse demande de vérification. Celle-ci demande à l’utilisateur de prouver qu’il n’est pas un robot. Là encore, les actions demandées vont copier-coller du code malveillant qui aboutit au déploiement et à l’installation d’un virus. Les « attaques reposent sur un mécanisme de diffusion simple : la victime ouvre manuellement la boîte de dialogue Exécuter de Windows pour y coller une commande malveillante », souligne Huntress dans son rapport.
À lire aussi : Google alerte sur une gigantesque fuite de données
Du code piégé caché dans des images PNG
Dans les deux tactiques d’attaques recensées, les pirates utilisent la stéganographie pour cacher leurs intentions malveillantes. Il s’agit d’une technique qui consiste à dissimuler des informations à l’intérieur d’un support apparemment anodin, comme une image, un fichier audio ou vidéo. En l’occurrence, les cybercriminels cachent le code malveillant à l’intérieur des pixels d’images PNG. Plutôt que « d’ajouter simplement des données malveillantes à un fichier, le code malveillant est encodé directement dans les données de pixels des images PNG », expliquent les chercheurs.
Ces images paraissent normales à l’œil nu, mais lorsqu’elles sont analysées ou lues par un programme spécifique, activé par la victime sans en avoir conscience, le code est exécuté. Dans plusieurs cas, la tactique a été utilisée pour propager Rhadamanthys, un redoutable virus taillé pour voler des données personnelles. Dans d’autres cyberattaques étudiées par les chercheurs, c’est le virus LummaC2, un autre voleur d’informations, qui est déployé.
Pour se protéger, les chercheurs recommandent de désactiver la boîte de dialogue « Exécuter » de Windows. Vous pouvez ainsi empêcher l’ouverture rapide de cette fenêtre qui permet de lancer facilement des commandes ou des programmes, et qui est massivement détournée par les pirates. Les experts conseillent aussi de surveiller les chaînes de processus suspectes comme « explorer.exe » lançant « mshta.exe » ou « PowerShell en vous rendant dans le gestionnaire des tâches.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Huntress