Ce sont deux nouvelles campagnes qui ciblent les utilisateurs de Windows, comme nous l’expliquent les experts en cybersécurité de Huntress. C’est depuis le 1er octobre 2025 que ces offensives ont été repérées. On parle d’attaques dites « ClickFix », une menace qui ne cesse de croître depuis son apparition en 2024.
Les virus ne sont pas rares, mais cette technique de « ClickFix » est bien plus redoutable que les cyberattaques classiques. D’habitude, les pirates utilisent des failles logicielles, mais ici on parle d’une manipulation psychologique. Les cybercriminels arrivent à convaincre leurs victimes d’exécuter elles-mêmes des commandes dangereuses, ce qui contourne les protections installées sur les PC.
Deux nouvelles attaques visent les utilisateurs de Windows
Never seen this ClickFix method before. pic.twitter.com/EUBB5yfN7e
— Reid H. (@Reid0nly) October 20, 2025
Les systèmes d’exploitation ne cessent de se renforcer en termes de sécurité, que ce soit Windows ou macOS. « ClickFix »est donc une réponse dans l’univers de la cybercriminalité, puisque les attaquants se tournent désormais vers l’ingénierie sociale. Le but est simple : utiliser les comportements humains au lieu des vulnérabilités. Un antivirus peut bloquer un fichier malveillant téléchargé automatiquement, mais reste impuissant lorsque l’utilisateur se piège lui-même. Les cybercriminels l’ont bien compris et perfectionnent constamment leurs techniques de manipulation. Les deux techniques découvertes par Huntress exploitent donc les réflexes des utilisateurs de Windows.
La première méthode simule une mise à jour de sécurité du système d’exploitation. Une page web vérolée envahit alors l’écran et reproduit la charte graphique de Microsoft lors d’une installation, où l’on retrouve les couleurs, la typographie, les barres de progression. Tout est parfaitement soigné pour mettre en confiance. La victime a alors comme instruction d’appuyer sur une séquence de touches précises, une combinaison anodine en apparence mais qui déclenche la copie du code JavaScript malveillant dans le presse-papiers puis son collage automatique dans l’invite de commandes de Windows. En quelques secondes, le piège se referme.
La seconde tactique détourne la vérification anti-robot appelée CAPTCHA. D’habitude, cette méthode permet de distinguer les humains des programmes automatisés sur les sites web. Les pirates affichent donc une fausse interface qui demande de prouver à l’utilisateur qu’il est humain en effectuant certaines manipulations. La victime, habituée à ce type de requêtes, s’exécute sans méfiance. Les commandes demandées aboutissent au même résultat que la première méthode, l’exécution de code malveillant sur le PC. Huntress souligne dans son rapport que « ces attaques se basent sur un mécanisme simple : la victime ouvre elle-même la boîte de dialogue Exécuter de Windows pour coller la commande malveillante ».
Des attaques qui se dissimulent pour échapper aux protections
La dissimulation est aussi l’un des points forts de ces attaques. Les cybercriminels utilisent la stéganographie, un procédé qui permet de cacher des informations à l’intérieur de supports d’apparence banale. On parle d’images, de fichiers audio ou de vidéos. Dans le cas présent, le code malveillant est directement encodé dans les pixels d’images au format PNG. Selon les chercheurs, les pirates ne se contentent pas d’ajouter des éléments malveillants en annexe du fichier. « Le code malveillant est encodé dans les données de pixels des images PNG, directement. » À l’œil nu, les visuels ont donc l’air ordinaires, mais un programme déclenché à l’insu de la victime peut en extraire et exécuter les instructions dangereuses.
La stéganographie a un avantage considérable pour les pirates, elle permet de contourner la détection de Windows. Le système d’exploitation de Microsoft, qui ne cesse de s’améliorer, analyse les fichiers à la recherche de signatures connues ou de comportements suspects. Une image PNG, avec du code caché dans ses pixels, passe souvent entre les mailles du filet puisque sa structure est conforme aux standards du format. Les filtres de messagerie et les pare-feux laissent transiter ces fichiers sans même déclencher d’alerte. Autrefois, cette méthode était surtout réservée aux pirates étatiques, mais les cybercriminels lambda l’utilisent désormais.
Les malwares utilisés lors de ces campagnes comptent parmi les plus dangereux en circulation. On trouve Rhadamanthys, un infostealer qui aspire les données sensibles stockées sur le PC, comme les identifiants bancaires et autres mots de passe. Les portefeuilles de crypto-monnaies, les cookies de session et bien d’autres éléments sont aussi aspirés par les pirates. On trouve ce malware sur des forums clandestins avec une formule d’abonnement « à la Netflix« . Rhadamanthysa même droit à des mises à jour régulières qui renforcent ses fonctionnalités pour échapper aux antivirus.
LummaC2 est le second virus propagé par ces attaques, avec un profil similaire. Il s’agit d’un infostealer qui s’impose comme l’un des outils préférés des cybercriminels depuis 2023. Son interface d’administration est intuitive, avec des fonctionnalités avancées pour collecter les données sensibles. Ce logiciel malveillant peut exploiter les mots de passe, l’historique de navigation, les données de remplissage automatique des formulaires et d’autres fichiers stockés sur le bureau ou dans les dossiers. Les informations dérobées sont ensuite revendues sur le darknet ou utilisées pour mener des attaques de phishing, d’usurpation d’identité, etc.
La boîte Exécuter de Windows est la porte d’entrée
La boîte de dialogue Exécuter de Windows est donc le point névralgique de ces attaques. Pour rappel, l’accès se fait avec Windows + R pour lancer rapidement des commandes et des programmes sans passer par les menus. Les pirates détournent donc cette fonctionnalité légitime en poussant les victimes à y coller des commandes préparées à l’avance. Et lorsque c’est exécuté, le code télécharge et installe le malware en quelques instants.
Pour faire face à ces menaces, les chercheurs de Huntress ont plusieurs recommandations. Désactiver la boîte de dialogue Exécuter sur les PC qui n’en ont pas besoin régulièrement est l’une des meilleures techniques. Cette mesure permet de supprimer d’où vient l’attaque exploitée par les campagnes « ClickFix ». Les experts conseillent aussi de surveiller les processus en cours d’exécution sur le PC. Le Gestionnaire des tâches de Windows permet d’identifier les comportements anormaux. Huntress attire notamment l’attention sur des processus suspects : lorsque explorer.exe déclenche mshta.exe ou PowerShell sans prévenir, mieux vaut se montrer méfiant, ce sont souvent des indices d’une exécution de script malveillant.
Au-delà de ces mesures, la vigilance humaine est la meilleure défense contre les attaques par ingénierie sociale. Jamais une mise à jour de Windows ne vous demandera d’appuyer sur une combinaison de touches précise ou de coller des commandes à la main. Le déploiement des correctifs de sécurité se fait de manière automatisée par Microsoft, sans intervention de votre part. Toute page web qui affiche ce type de requête doit éveiller les soupçons. Les tests anti-robots ne demanderont jamais d’effectuer des actions dans les paramètres système de Windows.
- ClickFix pousse la victime à exécuter elle-même des commandes malveillantes via la boîte de dialogue Exécuter de Windows (Windows + R).
- Le code est dissimulé dans des images PNG par stéganographie pour contourner les protections.
- Ne collez jamais de commandes dans Exécuter à la demande d’une page web, une vraie mise à jour Windows ne vous demandera jamais ça.
Source : Huntress
Réagissez à cet article !