ClickFix : une nouvelle arnaque frauduleuse utilisant de faux sites et des messages trompeurs pour infecter votre ordinateur
Imaginez recevoir un lien vous invitant à rejoindre une visioconférence sur Google Meet. Vous cliquez dessus, mais au lieu de participer à la réunion, vous atterrissez sur une page affichant un faux message d’erreur, qui vous suggère de copier et coller un code pour « régler le problème ». Ce code, en réalité, est un logiciel malveillant : un programme conçu pour voler vos données personnelles ou prendre le contrôle de votre ordinateur. Cette nouvelle méthode d’attaque informatique, appelée ClickFix, est en pleine expansion. Elle exploite la confiance des utilisateurs envers des plateformes réputées comme Google Meet, Zoom ou Booking.com afin de convaincre ces derniers d’effectuer une action manuelle qui infectera leur appareil.
Comment fonctionne ClickFix
Le mécanisme derrière ClickFix est d’une simplicité redoutable : l’attaquant crée une page web qui imite parfaitement le site officiel d’un service très connu, en modifiant légèrement l’adresse pour qu’elle semble légitime (par exemple « meet.google.com-join.us »), alors qu’en réalité, elle mène à un site malveillant. La victime reçoit un message de phishing — c’est-à-dire une communication trompeuse qui donne l’impression de provenir d’une source fiable — l’incitant à cliquer sur un lien ou à télécharger une pièce jointe. Une fois sur la page piège, un faux message d’erreur apparaît, suggérant la copie d’un code ou le lancement d’un fichier apparemment sans danger (sur Windows avec PowerShell ou sur macOS). En suivant ces instructions, le malware s’exécute directement sur l’ordinateur de la victime, souvent en évitant la détection par les antivirus ou autres systèmes de protection automatiques.
Les acteurs derrière ClickFix
Selon plusieurs études menées par des experts en cybersécurité, la campagne ClickFix serait orchestrée par des groupes bien connus dans le monde du cybercrime, tels que Slavic Nation Empire ou Scamquerteo. Ces groupes évoluent dans les recoins obscurs du web, souvent liés à la vente de services de hacking clés en main, désignés sous le terme de Malware-as-a-Service. Ils utiliseraient probablement une infrastructure partagée, gérée par des organisations encore inconnues, mettant à leur disposition des outils, des domaines frauduleux et des codes prêts à l’emploi. Parmi les logiciels malveillants le plus fréquemment diffusés via ClickFix figurent des «stealer» : des programmes spécialisés dans le vol de mots de passe, données bancaires, et autres informations sensibles. Des noms comme StealC, Rhadamanthys ou Atomic sont aujourd’hui bien connus des spécialistes, mais de nouveaux malwares apparaissent à un rythme soutenu, rendant la lutte contre ces menaces particulièrement difficile.
Comment se prémunir contre ClickFix
La technique préconisée par ClickFix représente une avancée dans le domaine du phishing, car elle demande une interaction active de la part de la victime. Cela complique la tâche des systèmes automatisés de détection, qui ont du mal à repérer ce type d’attaque en l’absence de comportement évident. Pour se protéger, la vigilance est de mise face à toute demande inhabituelle reçue par email ou message, même si celle-ci semble provenir de sources fiables. Il faut particulièrement rester attentif à chaque lien, chaque pièce jointe ou même à la nature des instructions demandées.
Un contrôle simple de l’adresse URL suffit souvent à démasquer un site frauduleux. Il ne faut en aucun cas se fier à des messages demandant de copier des codes dans les terminaux ou d’exécuter des fichiers provenant de liens non officiels. Les experts recommandent également de toujours maintenir à jour son navigateur et son logiciel antivirus. Pourtant, la véritable arme contre ce type d’arnaques demeure la prudence : dans ce cas précis, la faiblesse réside dans la capacité de l’attaquant à duper l’utilisateur et à le pousser à agir contre son gré.
