Une campagne de piratage particulièrement rusée fait des ravages en ce moment sur les PC Windows. Elle est d'autant plus redoutable qu'elle pousse les utilisateurs à installer eux-mêmes un terrible virus sur leur ordinateur.

Plusieurs chercheurs en cybersécurité observent depuis le mois d'octobre une campagne de piratage de PC qui exploite avec beaucoup d'habileté le contexte actuel. Entre la fin du support de Windows 10, les multiples mises à jour successives de Windows et une avalanche de correctifs publiés dans l'urgence, la période est plus propice que jamais aux manipulations. Les pirates semblent l'avoir bien compris et se tournent vers une méthode originale où la technique laisse place à la psychologie. Ils ne tentent plus de forcer les protections du système : ils amènent l'utilisateur à infecter lui-même sa machine !

Baptisé ClickFix, le procédé observé par les experts de Huntress est particulièrement vicieux. En navigant normalement le Web, un internaute tombe sur une page piégée. Aussitôt, s'affiche en plein écran un message sur fond bleu qui imite à la perfection les écrans de mises à jour de Windows, avec une petite animation montrant une progression. Même s'il est surpris, l'utilisateur pense alors assister à une mise à jour automatique pour une réparation, suite à un problème. .

Mais au bout d'un moment, l'écran lui demande d'effectuer une manipulation décrite comme indispensable pour terminer l'opération. Rien de compliqué, tout est détaillé : il faut juste ouvrir le terminal de Windows avec les touches Windows + R, coller le contenu du Presse-papier avec Windows + V et valider avec la touche Entrée.

© Huntress

C'est fini, le démon est dans la boîte ! En réalité, le navigateur a déjà copié discrètement et automatiquement une commande spéciale dans le Presse-papiers de Windows. Et c'est l'utilisateur piégé qui l'exécute en suivant les instructions, installant sans le savoir un virus pour voler ses données. Car derrière ce geste banal se cache une chaîne d'actions silencieuses avec une exécution de scripts PowerShell puis la reconstruction d'un fichier en mémoire. Le malware n'apparaît nulle part sur le disque, ce qui rend cette attaque difficile à repérer avec des défenses classiques.

D'autres variantes circulent, toutes bâties sur le même principe. Certaines prennent la forme d'une page de "vérification humaine". Le message prétend vérifier que l'utilisateur n'est pas un robot, mais il conduit encore une fois à copier-coller une commande dans Windows.

Toutes ces méthodes reposent sur une technique astucieuse : la stéganographie. Le code malveillant que l'utilisateur copie innocemment n'est pas un texte en clair : il est caché dans des images au format PNG d'allure parfaitement anodine, niché dans les valeurs de couleur de certains pixels, invisibles pour l'œil humain. Lorsqu'un script spécial lit l'image, il en extrait les données nécessaires pour reconstruire le malware et l'injecter dans un processus légitime.

Les spécialistes signalent que cette campagne sournoise est toujours bien active, avec une évolution continue des leurres. Rien n'indique un essoufflement. Au contraire, les pirates s'adaptent à chaque nouveau rapport sur leurs activités.

Pour limiter les risques, les experts recommandent de ne pas utiliser la boîte Exécuter sans raison, en rappelant qu'une mise à jour Windows ne demande jamais de copier-coller quoi que ce soit. Tout se passe exclusivement par Windows Update, accompagné au mieux d'un redémarrage du PC. Donc si vous voyez ce fameux écran bleu s'afficher subitement pendant que vous naviguez sur Internet, étéignez immédiatement votre PC avant de l'infecter !