Une nouvelle variante de la technique d’ingénierie sociale ClickFix a été observée, reposant sur l’affichage d’un faux écran bleu de Windows (BSOD) pour inciter les utilisateurs à exécuter des commandes malveillantes. Cette campagne, relayée par LeMagIT, vise notamment des entreprises européennes du secteur de l’hôtellerie et conduit à l’installation d’un cheval de Troie d’accès à distance.
Un leurre visuel pour provoquer l’action
La chaîne d’attaque débute par un e-mail de phishing imitant des notifications liées à des réservations ou à des services en ligne. Le lien redirige vers une page frauduleuse qui affiche un faux écran bleu, reproduisant fidèlement l’apparence et les messages d’erreur d’un crash Windows. En provoquant un sentiment d’urgence, il est plus facile de pousser l’utilisateur à suivre des instructions, présentées comme une procédure de réparation.
Contrairement aux attaques classiques par téléchargement automatique, ClickFix repose sur une manipulation directe. L’utilisateur est invité à copier-coller et exécuter une commande PowerShell. Cette approche permet de contourner certains mécanismes de détection, l’action étant initiée manuellement par la victime elle-même.
Déploiement de DCRat avec des outils légitimes
Une fois la commande exécutée, la charge utile s’appuie sur MSBuild.exe, un composant légitime de Windows, pour télécharger et lancer le RAT DCRat. Ce malware permet aux attaquants de prendre le contrôle à distance du poste compromis, de collecter des informations et de déployer d’autres charges malveillantes.
Les attaques observées ciblent principalement le secteur hôtelier européen, avec des messages contextualisés (réservations, annulations, paiements en euros). Cette contextualisation renforce la crédibilité du leurre et illustre la montée en maturité des campagnes reposant sur l’ingénierie sociale plutôt que sur des vulnérabilités techniques.
