Une vague de cyberattaques très vicieuses vise l’Europe. La méthode pour se propager utilise un faux écran bleu de la mort de Windows 11. Ce sont les chercheurs en cybersécurité de Securonix qui ont documenté cette campagne appelée PHALT#BLYX. Pour mener l’attaque, les criminels utilisent l’hameçonnage et la manipulation psychologique. Les victimes sont poussées à installer elles-mêmes un virus sur leur PC.
C’est le secteur hôtelier qui est la cible principale de cette offensive, qui tombe au pire moment pendant cette période de fêtes de fin d’année. L’attaque de type ClickFix connaît une explosion sans précédent. Selon les données d’ESET, cette attaque a bondi de plus de 500 % au premier semestre 2025 par rapport au second semestre 2024. Cette méthode représente désormais près de 8 % de l’ensemble des attaques bloquées par leurs systèmes.
Comment se déroule cette attaque qui vise Windows ?
Pour cette attaque qui vise actuellement Windows, le scénario commence par un email frauduleux qui imite parfaitement Booking.com. Le message explique que la réservation a été annulée par un client avec un remboursement qui dépasse généralement les 1 000 euros. Un montant élevé qui n’est pas choisi au hasard : il crée un sentiment d’urgence qui pousse le destinataire à cliquer sans réfléchir, par crainte d’une erreur ou d’une fraude. Le lien redirige vers un clone du site de réservation, mais hébergé sur un domaine malveillant.
« »Pour quelqu’un qui n’a pas l’habitude de l’hameçonnage, c’est indiscernable du vrai site. », souligne le rapport de Securonix. Lorsque la victime a cliqué sur un bouton de la fausse page, le navigateur passe en mode plein écran et affiche un faux écran bleu de la mort. L’imitation est parfaite et cette image terrifiante provoque un état de panique. « Cet affichage pousse la victime à croire qu’il subi une panne importante, ce qui créer un moment de panique et altère son jugement. », expliquent les chercheurs.
La victime se retrouve donc avec deux pressions sur le dos : une crainte d’une fraude financière et un problème technique sur son PC. Le faux écran bleu propose miraculeusement une solution. Des instructions apparaissent et demandent à la victime d’appuyer sur les touches Windows + R pour ouvrir la boîte de dialogue Exécuter. Ensuite, le message explique qu’il faut faire CTRL + V puis Entrée pour réparer le PC.
En réalité, ces manipulations collent une commande malveillante qui a été copiée dans le presse-papier à l’insu de l’utilisateur. Une commande PowerShell qui télécharge un projet .NET malveillant et déclenche l’exécution via MSBuild.exe. Il s’agit d’un outil légitime de Windows, détourné de son usage normal pour être invisible aux yeux des antivirus. Le logiciel malveillant déployé est une version fortement obfusquée d’AsyncRAT. C’est un cheval de Troie d’accès à distance qui permet aux attaquants une emprise totale sur le PC de la victime.
Un virus qui siphonne toutes les données sensibles de votre PC
Le virus capture tout ce qui s’affiche à l’écran, enregistre chaque frappe au clavier et fouille le système à la recherche de mots de passe, de données bancaires et d’informations. Il est aussi possible de propager l’attaque à toutes les autres machines du réseau de l’établissement pour multiplier les dégâts. Pour un hôtel qui gère des centaines de réservations avec des coordonnées bancaires, les conséquences sont catastrophiques. Selon les investigations, cette campagne serait liée à la Russie, mais les détails sur le groupe qui mène l’assaut n’ont pas été divulgués.
Les attaques ClickFix ne font que grimper à l’échelle mondiale et ciblent aussi bien les entreprises que les particuliers avec des variantes de plus en plus élaborées. En plus de l’écran bleu, d’autres utilisent de faux sites de patchs, de mises à jour Windows ou de faux CAPTCHA de vérification.
Pour se protéger, les experts recommandent de ne jamais exécuter de commandes ou de scripts qui viennent de sources non fiables, même si l’interface a l’air légitime. Un vrai écran bleu de Windows n’affiche jamais d’instructions de récupération. On ne voit qu’un code d’erreur ou un message qui indique que le PC va redémarrer. Il est aussi possible pour les administrateurs système de désactiver la boîte de dialogue Exécuter via les stratégies de groupe ou des modifications du registre pour supprimer l’angle d’attaque de ClickFix.
- Securonix décrit la campagne PHALT#BLYX qui vise surtout l’hôtellerie en Europe via un faux email Booking.com menant à un faux écran bleu qui pousse la victime à exécuter une commande.
- La commande déclenche l’installation d’AsyncRAT via PowerShell puis MSBuild.exe, ce qui donne aux attaquants un accès à distance avec vol de données et possibilité de propagation sur le réseau.
- La protection recommandée est de ne jamais exécuter de commandes copiées depuis une page web et de retenir qu’un vrai écran bleu Windows n’affiche pas d’instructions de récupération.
Source : Securonix
Réagissez à cet article !