ClickFix : Comment les faux écrans BSOD Windows déclenchent des attaques par ingénierie sociale en 2025

Séraphine Clairlune

Une attaque par ingénierie sociale sophistiquée cible activement le secteur de l’hôtellerie en Europe, utilisant des écrans de plantage (BSOD) Windows entièrement faux pour piéger les utilisateurs. Selon les chercheurs de Securonix, cette campagne nommée “PHALT#BLYX” force les victimes à compiler manuellement et exécuter des malwares sur leurs propres machines.

Le secteur hôtelier, particulièrement vulnérable aux urgences opérationnelles, fait face à une menace hybride combinant hameçonnage et ingénierie technique. L’objectif est clair : détourner les processus légitimes de Windows pour faire exécuter du code malveillant par la victime elle-même, contournant ainsi les traditionnelles protections antivirus.

L’ingénierie sociale derrière l’attaque ClickFix

Le vecteur d’attaque repose sur une combinaison psychologique et technique redoutable. Les attaquants exploitent la pression temporelle inhérente à la gestion hôtelière, où une réservation annulée ou un problème de paiement doit être résolu immédiatement pour éviter un impact sur le service client.

Le mécanisme de l’usurpation d’identité

L’attaque commence par un email de phishing impersonnant une plateforme de réservation bien connue, Booking.com. L’email signale une annulation de réservation avec un montant de remboursement significatif. Ce chiffre élevé sert à créer un sentiment d’urgence et à court-circuiter le discernement critique du destinataire.

L’urgence est le principal moteur : un employé réceptionniste ou un gestionnaire de propriété, sous pression pour résoudre un litige financier, est moins susceptible de vérifier la légitimité d’un lien ou d’une procédure technique.

Le site clone

Le lien mène vers un site hébergé sur low-house[.]com, un domaine frauduleux. Ce site est une réplique quasi parfaite de l’interface Booking.com officielle. Les attaquants ont reproduit avec une précision alarmante la palette de couleurs, les logos et les polices de caractères. À l’œil nu, même un employé habitué à la plateforme peut être trompé.

Ce site héberge un script JavaScript malveillant qui simule une erreur de chargement, invitant l’utilisateur à “rafraîchir la page”. C’est le déclencheur technique de la phase suivante.

Le piège technique : Du faux BSOD à l’exécution de code

Lorsque l’utilisateur clique sur le bouton de rafraîchissement, le navigateur bascule en mode plein écran et affiche un écran de plantage Windows (Blue Screen of Death - BSOD) entièrement factice.

Pourquoi le BSOD fonctionne-t-il psychologiquement ?

Un BSOD est l’incarnation de la panne technique majeure pour un utilisateur Windows. Il signale une erreur fatale et irrécupérable. L’apparition soudaine d’un BSOD dans un contexte où l’utilisateur tente simplement de consulter une réservation crée une dissonance cognitive majeure.

Le faux BSOD diffère du vrai sur un point crucial : alors qu’un véritable écran de plantage Windows ne propose aucune instruction de récupération (se contentant d’afficher un code d’erreur et de demander un redémarrage), la version malveillante offre une solution.

L’instruction mortelle

Le faux écran demande à l’utilisateur d’ouvrir la boîte de dialogue “Exécuter” de Windows (touche Windows + R), puis de coller (CTRL + V) une commande copiée dans son presse-papiers, et enfin d’appuyer sur Entrée.

Cette technique, que les experts nomment “ClickFix”, repose sur le fait que la commande a été préalablement copiée automatiquement dans le presse-papiers de la victime lors de la visite du site frauduleux. L’utilisateur n’a même pas besoin de taper quoi que ce soit.

Analyse de la charge utile (Payload) : DCRAT

L’exécution de la commande PowerShell lance une séquence d’infection complexe et silencieuse.

Phase 1 : Leurre et Compilation

La commande pastée ouvre d’abord une page d’administration Booking.com dédiée (décoy) pour rassurer la victime. Pendant ce temps, en arrière-plan, le script télécharge un projet .NET (v.proj) et utilise le compilateur légitime de Windows (MSBuild.exe) pour le transformer en executable.

Cette technique de Living off the Land (LotL) est critique : elle utilise des outils système légitimes (Microsoft Build Engine) pour éviter d’être détectée par les solutions de sécurité traditionnelles qui surveillent l’activité suspecte.

Phase 2 : Élévation de privilèges et Persistance

Le malware exécuté effectue plusieurs actions critiques :

  1. Ajout d’exclusions Windows Defender : Il se retire lui-même de la surveillance antivirus.
  2. Élévation de privilèges (UAC) : Il déclenche des invite de contrôle de compte d’utilisateur pour obtenir les droits administrateur.
  3. Téléchargement du chargeur principal : Il utilise le service BITS (Background Intelligent Transfer Service) de Windows, un protocole de transfert de fichiers légitime, pour télécharger le malware final.
  4. Persistance : Il dépose un fichier .url dans le dossier de démarrage de Windows pour se relancer à chaque connexion.

Phase 3 : Le Malware Final (DCRAT)

Le fichier final (staxs.exe) est identifié comme DCRAT (Dark Crystal Remote Access Trojan). C’est un RAT commercial vendu sur les forums souterrains, capable de :

  • Contrôle à distance du bureau (RDP)
  • Enregistrement des frappes au clavier (Keylogger)
  • Exécution de commandes Shell à distance
  • Injection de payloads supplémentaires en mémoire

Dans le cas observé par Securonix, les attaquants ont déployé un mineur de cryptomonnaie, mais la porte ouverte permet tout type d’attaque secondaire, du vol de données à l’installation de ransomware. Cette sophistication rappelle les espionnages cyber autonomes orchestrés par des groupes avancés.

Pourquoi cette attaque est-elle efficace en 2025 ?

Cette campagne illustre une tendance majeure de la cybercriminalité en 2025 : l’exploitation de la confiance dans les outils légitimes et la fatigue humaine.

La faille humaine sous pression

Le secteur de l’hôtellerie fonctionne 24/7 avec souvent des équipes réduites ou moins formées aux aspects techniques. La gestion des annulations et des litiges de paiement est une tâche urgente. L’attaque ClickFix ne demande pas à la victime de “télécharger un virus”, mais de “résoudre un problème technique” pour récupérer de l’argent.

L’absence de signature malveillante

En utilisant MSBuild.exe et BITS, le malware passe inaperçu. Il n’y a pas de fichier exécutable téléchargé directement et reconnu comme malveillant. C’est la compilation d’un code source légitime (mais malveillant) qui crée l’exécutable infecté. Ces évolutions s’inscrivent dans les tendances majeures de la cybercriminalité en 2025.

Comparaison : Vrai BSOD vs Faux BSOD ClickFix

Pour aider les professionnels de la sécurité et les utilisateurs à distinguer les deux, voici les différences clés :

| Caractéristique | Vrai BSOD Windows | Faux BSOD ClickFix | | :— | :— | :— | | Instructions | Aucune. Juste un message d’erreur et un redémarrage. | Propose des étapes de correction précises (copier/coller). | | Contexte d’apparition | Système Windows instable ou panne matérielle. | Apparaît dans un navigateur web après un clic. | | Code d’erreur | Codes hexadécimaux complexes (ex: CRITICAL_PROCESS_DIED). | Messages génériques ou illisibles, souvent sans code standard. | | Fonctionnalité | Bloque toute interaction avec l’OS. | Demande une action utilisateur (Exécuter une commande). | | Interface | Affiché par le noyau Windows (kernel). | Affiché par le navigateur web (plein écran). |

Stratégies de détection et de mitigation

Face à des attaques qui dépendent de l’action manuelle de l’utilisateur, la défense doit être multi-couches.

1. Formation et Sensibilisation (Le premier rempart)

Il est impératif de former les équipes à reconnaître les signaux d’alerte :

  • Le principe du BSOD impossible dans un navigateur : Expliquer qu’un écran de plantage système ne peut jamais émaner d’un site web.
  • La règle d’or du presse-papiers : Ne JAMAIS coller de commande dans l’invite de commande (cmd) ou PowerShell si elle provient d’une source externe non vérifiée.
  • Vérification des urgences : Toujours contacter le client ou la plateforme par un autre canal (téléphone) pour vérifier une annulation ou un remboursement signalé par email.

2. Restrictions Techniques

Les administrateurs système peuvent limiter les dégâts via des stratégies de groupe (GPO) :

  • Désactiver l’accès à PowerShell pour les utilisateurs standards qui n’en ont pas besoin.
  • Script Block Logging : Activer la journalisation des scripts PowerShell pour tracer les commandes exécutées.
  • Contrôle des applications : Restreindre l’exécution de MSBuild.exe aux seuls répertoires approuvés.

3. Surveillance EDR et SIEM

Les outils de détection et de réponse sur les terminaux (EDR) doivent être configurés pour surveiller :

  • L’utilisation de MSBuild.exe par des utilisateurs non développeurs.
  • Les appels réseau sortants vers des domaines inconnus ou récents (comme low-house[.]com).
  • La création de fichiers .url dans les dossiers de démarrage.

Les récentes opérations de démantèlement des malwares montrent l’importance de la collaboration internationale contre ces menaces.

Conclusion : La vigilance contre l’ingénierie inverse

L’attaque ClickFix démontre que la menace la plus redoutable en 2025 n’est pas forcément une faille zero-day technique, mais l’exploitation des mécanismes de confiance de l’utilisateur et des outils légitimes du système d’exploitation.

En transformant l’utilisateur en complice involontaire de son infection, les attaquants contournent les pare-feu et les antivirus. La clé de la défense réside dans une hygiène numérique rigoureuse et une méfiance systématique envers toute instruction technique demandant l’ouverture d’une invite de commande.

Si votre équipe a reçu un email suspect ou rencontre un comportement anormal sur ses postes de travail, il est crucial d’isoler la machine immédiatement et de contacter une équipe de réponse à incident pour éviter la propagation latérale du malware DCRAT.