Attaque ClickFix : comment les faux écrans de plantage BSOD infectent vos systèmes

Hippolyte Valdegré

Une nouvelle campagne de phishing sophistiquée, baptisée PHALT#BLYX par les chercheurs de Securonix, cible activement le secteur de l’hôtellerie en Europe dès la fin de l’année 2025. Cette attaque, reposant sur la technique d’ingénierie sociale ClickFix, utilise de faux écrans de plantage Windows (Blue Screen of Death ou BSOD) pour inciter les victimes à exécuter manuellement des commandes malveillantes. Contrairement aux attaques automatisées, celle-ci repose sur la manipulation psychologique pour contourner les défenses techniques.

Le scénario démarre par un e-mail frauduleux usurpant l’identité de Booking.com, signalant une annulation de réservation coûteuse. Sous la pression, l’utilisateur clique, atterrit sur un site clone parfait, puis fait face à un plantage simulé. Le piège se referme lorsque la victime est priée de copier-coller une commande pour “réparer” son système, déclenchant ainsi l’infection.

Comprendre le mécanisme de l’ingénierie sociale ClickFix

La méthode ClickFix se distingue par son approche proactive. Au lieu d’attendre qu’une vulnérabilité soit exploitée automatiquement, l’attaquant guide la victime étape par étape pour qu’elle exécute elle-même le code malveillant.

Le principe de la fausse erreur

Dans cette campagne spécifique, le processus commence par un e-mail d’annulation de réservation. L’urgence financière crée un biais cognitif qui réduit la méfiance de la cible. Une fois le lien cliqué, l’utilisateur navigue vers un site hébergé sur low-house[.]com, un domaine frauduleux.

Ce site est une réplique quasi parfaite de l’interface Booking.com. Les attaquants ont reproduit avec précision la palette de couleurs, les polices et les logos officiels. Pour un œil non averti, la distinction est impossible.

La simulation du plantage système

L’astuce technique repose sur une séquence de déclencheurs :

  1. L’erreur de chargement : Le site affiche d’abord un message “Le chargement prend trop de temps”, incitant à cliquer sur un bouton de rafraîchissement.
  2. Le faux BSOD : Ce clic bascule le navigateur en mode plein écran et affiche une copie visuelle exacte de l’écran de plantage Windows (BSOD).

Les vrais écrans BSOD n’offrent aucune instruction de récupération autre que le redémarrage. L’ajout d’instructions techniques est donc un indicateur d’attaque, mais souvent ignoré sous le stress.

Analyse technique de l’infection par PowerShell

Lorsque la victime tente de “réparer” l’erreur, le mécanisme de ClickFix prend le relais. Le code malveillant est conçu pour sembler être une procédure de dépannage standard.

L’exécution du payload

L’écran faux BSOD demande à l’utilisateur d’ouvrir la boîte de dialogue “Exécuter” (Windows + R), puis de coller (CTRL + V) une commande pré-copiée dans le presse-papiers, et enfin d’appuyer sur Entrée.

Cette commande est un script PowerShell. Son exécution déclenche deux actions simultanées :

  • Décrochage visuel : Une page d’administration Booking.com légitime (décoy) s’ouvre pour rassurer la victime.
  • Téléchargement silencieux : Un projet .NET (v.proj) est téléchargé et compilé en arrière-plan.

Compilation et contournement des défenses

L’utilisation du compilateur légitime MSBuild.exe de Windows est une technique d’attaque par la livraison de code (LOLBins - Living Off the Land Binaries) astucieuse. Le malware se fond dans le trafic système normal.

Le payload final procède ensuite à des modifications systèmes critiques :

  1. Exclusions Windows Defender : Le malware s’ajoute lui-même aux exceptions de l’antivirus.
  2. Élévation de privilèges : Il déclenche des invites UAC (Contrôle de compte d’utilisateur) pour obtenir les droits administrateur.
  3. Persistance : Un fichier .url est déposé dans le dossier de démarrage pour relancer le malware à chaque connexion.

Le malware DCRAT : une porte ouverte sur le réseau

Le fichier exécutable final (staxs.exe) est identifié comme étant DCRAT (DarkCrystal Remote Access Trojan), un RAT commercial répandu.

Capacités de l’attaquant

Une fois installé, le malware utilise le processus légitime aspnet_compiler.exe pour s’y injecter via une technique appelée Process Hollowing. Il s’exécute directement en mémoire sans toucher au disque dur, rendant sa détection par les outils classiques plus difficile.

Les capacités du DCRAT incluent :

  • Surveillance complète : Keylogger, capture d’écran, accès au bureau à distance.
  • Contrôle total : Exécution de commandes arbitraires via un reverse shell.
  • Extension des dégâts : Dans le cas observé par Securonix, un mineur de cryptomonnaie a été déployé, mais l’objectif premier reste le vol de données sensibles ou le déploiement de ransomware.

Différencier le vrai du faux : l’expertise de terrain

Face à des attaques aussi sophistiquées, la vigilance humaine reste le premier rempart. Voici une grille de comparaison pour identifier un faux BSOD orchestré via ClickFix.

IndicateurVrai BSOD WindowsFaux BSOD ClickFix
SupportÉcran local du système d’exploitationPage web dans un navigateur (généralement en plein écran)
InstructionsAucune (sauf “Collecting data for crash analysis”)Demande explicite d’ouvrir Exécuter, coller du texte
ContexteArrêt brutal de l’activitéApparaît après une erreur de chargement web
Moyen de fermetureRedémarrage forcé ou manuelFermeture de l’onglet navigateur ou Alt+F4
Commande demandéeJamais de commande à copier-collerPowerShell, CMD, ou autre script

Mise en œuvre : Étapes de réponse et de prévention

Si votre équipe suspecte une telle attaque ou si un utilisateur a signalé un écran étrange, il est crucial de réagir méthodiquement.

1. Procédure d’urgence (Post-Incident)

Si un collaborateur a exécuté la commande :

  1. Isoler immédiatement : Déconnectez la machine du réseau (câble Ethernet/Wi-Fi) pour stopper la communication avec le serveur C2.
  2. Ne pas éteindre : Laissez la machine allumée pour analyse forensique si nécessaire.
  3. Changer les mots de passe : Notamment les accès VPN, messagerie et bancaires, car le keylogger a pu capturer des informations.
  4. Signaler : Contacter le RSSI ou l’équipe SOC pour une investigation.

2. Mesures de prévention techniques

Pour bloquer ce type d’ingénierie sociale, plusieurs leviers sont à activer :

  • Filtrage DNS et URL : Bloquer les domaines nouvellement enregistrés ou suspects identifiés comme low-house[.]com.
  • Restreindre les scripts : Configurer les politiques Windows pour limiter l’exécution de PowerShell par les utilisateurs standards.
  • Détection comportementale : Surveiller l’utilisation de MSBuild.exe en dehors des processus de développement.
  • Surveillance des botnets : Surveiller les communications avec les réseaux de bots connus comme Rondodox qui ciblent les serveurs Next.js et IoT.

3. Formation et sensibilisation (E-E-A-T)

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande régulièrement de former les utilisateurs aux nouvelles vecteurs d’attaques.

Dans la pratique, nous observons que les campagnes ciblant l’hôtellerie augmentent durant les périodes de forte affluence. Il est impératif d’expliquer aux réceptionnistes et au personnel administratif qu’aucune plateforme légale (Booking, Airbnb, etc.) ne demandera jamais d’ouvrir une invite de commande Windows pour résoudre un problème de réservation.

Conclusion : Ne jamais exécuter de commandes improvisées

L’attaque ClickFix exploitée par le groupe PHALT#BLYX démontre une fois de plus l’évolution de la menace vers des scénarios hybrides mêlant usurpation d’identité visuelle et manipulation psychologique. En 2026, la sécurité ne repose plus uniquement sur l’antivirus, mais sur la capacité à identifier les incohérences.

La règle d’or reste inchangée : face à une erreur système inattendue, surtout provenant d’une fenêtre navigateur, la première action est de forcer la fermeture de l’application (Alt+F4) et de redémarrer proprement. Si une procédure vous demande d’ouvrir l’invite de commande et de coller un texte, il s’agit à 99% d’une attaque. Restez vigilants et formez vos équipes à reconnaître ces pièges.