ClickFix : Comment les faux écrans de panique Windows (BSOD) déclenchent des attaques malware

Aurélien Fontevive

Une attaque sophistiquée sévit actuellement en Europe, ciblant particulièrement le secteur de l’hôtellerie. Selon les derniers rapports de sécurité datant de début 2026, une campagne de social engineering baptisée ClickFix utilise des écrans de panique Windows (BSOD) falsifiés pour piéger les utilisateurs. L’objectif est de les inciter à compiler et exécuter manuellement des programmes malveillants sur leurs propres machines. Cette technique audacieuse repose sur une impulsion humaine : réagir vite face à une erreur système critique.

Dans un environnement professionnel, la panique est une arme. Face à un écran de panique Windows (BSOD), la réflexion critique s’efface souvent devant l’urgence de rétablir le service. Pourtant, dans cette campagne spécifique, l’écran de panique n’est pas une alerte système, mais une toile de piège.

L’ingénierie de ClickFix : déconstruction d’une supercherie

Le mécanisme de l’attaque ClickFix repose sur une simulation parfaite des erreurs informatiques les plus redoutées. Contrairement aux attaques par drive-by download classiques, celle-ci demande une participation active de la victime. Elle exploite la confiance que l’on porte à la machine lorsqu’elle signale elle-même ses dysfonctionnements.

Le déroulement de l’attaque

L’attaque commence généralement par un phishing ciblé. Les chercheurs de Securonix ont identifié une campagne, nom de code “PHALT#BLYX”, où les e-mails usurpent l’identité de Booking.com, une technique courante dans les arnaques par email. Ces e-mails simulent une annulation de réservation coûteuse, créant un sentiment d’urgence chez le récepteur, souvent un employé d’hôtel.

Une fois le lien cliqué, l’utilisateur est redirigé vers un site web frauduleux. Ce site est un clone parfait de la plateforme d’origine, hébergé sur un domaine contrôlé par les attaquants. Les détails visuels sont minutieusement reproduits : palette de couleurs, polices, et logo officiel.

Le piège se referme ensuite en deux temps :

  1. L’erreur d’affichage : Un script JavaScript injecté sur la page affiche un message d’erreur indiquant que le chargement prend trop de temps, proposant un bouton “Rafraîchir”.
  2. Le basculement vers le BSOD : Au clic, le navigateur passe en mode plein écran et affiche une simulation d’écran de panique Windows (BSOD).

La psychologie du faux BSOD

L’écran de panique Windows (Blue Screen of Death) est ancré dans l’esprit des utilisateurs comme un événement critique nécessitant une intervention. Le faux BSOD de ClickFix exploite cette mémoire collective. Cependant, une différence fondamentale existe : un vrai BSOD affiche un code d’arrêt et demande un redémarrage, sans donner d’instructions de correction manuelle. Le faux BSOD, lui, guide l’utilisateur.

Il demande d’ouvrir la boîte de dialogue “Exécuter” (Windows + R) et de coller une commande (CTRL + V) pré-copiée. Cette étape de social engineering est cruciale : elle outrepasse les bloqueurs de pop-ups et les antivirus en faisant de l’utilisateur l’acteur de son propre compromis.

Analyse technique du payload et de l’exécution

Lorsque la commande est collée et validée, une chaîne de compromission complexe se déclenche. L’attaque ne se contente pas de télécharger un fichier ; elle utilise des outils légitimes présents sur le système pour passer inaperçu.

Le mécanisme de compilation à la volée

La commande PowerShell exécutée lance un processus insidieux. Elle télécharge depuis un serveur distant un projet .NET (fichier v.proj). Immédiatement après, elle utilise le compilateur Windows légitime, MSBuild.exe, pour compiler ce projet en un exécutable.

Cette technique, souvent appelée “Living off the Land” (LotL), consiste à utiliser des binaires système légitimes pour exécuter des tâches malveillantes. Puisque MSBuild.exe est un outil de développement Microsoft standard, il est rarement bloqué par les solutions de sécurité par défaut. Cette approche est similaire à celle utilisée par les botnets qui exploitent des vulnérabilités sur les serveurs IoT et web.

Privilèges et persistence

Le malware compilé prend immédiatement des mesures pour sécuriser son emplacement sur la machine :

  • Exclusions Defender : Il ajoute des exclusions dans Windows Defender pour ne pas être détecté.
  • Élévation de privilèges : Il déclenche des invites UAC (Contrôle de compte d’utilisateur) pour obtenir les droits administrateur.
  • Transfert et Installation : Il utilise le service BITS (Background Intelligent Transfer Service) pour télécharger le chargeur principal.
  • Persistance : Un fichier .url est déposé dans le dossier de démarrage Windows pour relancer le malware à chaque connexion.

Le malware final : DCRAT (DarkCrystal Remote Access Tool)

Le payload final déployé est identifié comme étant DCRAT, un Remote Access Trojan (RAT) commercial vendu sur les forums souterrains, similaire à d’autres malwares distribués via des botnets modernes. Une fois installé, il s’injecte dans un processus légitime (aspnet_compiler.exe) via une technique de process hollowing, s’exécutant directement en mémoire sans laisser de traces sur le disque.

Capacités du DCRAT

Une fois connecté à son serveur de commande et contrôle (C2), le DCRAT offre au cybercriminel un contrôle quasi-total sur la machine infectée :

  • Bureau à distance : Visualisation et contrôle de l’écran.
  • Keylogging : Enregistrement de toutes les frappes clavier (accès aux mots de passe).
  • Shell inverse : Exécution de commandes arbitraires.
  • Chargement de modules : Possibilité d’ajouter d’autres logiciels malveillants (ex: mineur de cryptomonnaie).

Dans le cas observé par Securonix, un mineur de cryptomonnaie a été déployé, mais le potentiel va bien au-delà, incluant le vol de données sensibles ou le déploiement de ransomware sur le réseau.

Comment se protéger contre les attaques ClickFix ?

Face à une menace qui combine usurpation d’identité, simulation visuelle et manipulation psychologique, la défense doit être multi-couches. Il ne suffit pas d’avoir un antivirus à jour.

1. Sensibilisation et détection des signaux d’alerte

La première ligne de défense reste l’utilisateur. Il faut former les équipes à reconnaître les anomalies comportementales :

  • Absence de BSOD réel dans le navigateur : Un navigateur web ne peut pas afficher un véritable écran de panique système. C’est une simulation.
  • Instructions de collage de commande : Aucun système légitime ne demande à un utilisateur de coller une commande PowerShell ou CMD dans l’invite d’exécution.
  • Urgence artificielle : Les e-mails créant une panique financière ou technique immédiate doivent être traités avec une extrême méfiance.

2. Mesures techniques de prévention

Pour bloquer l’exécution de la chaîne malveillante, les administrateurs peuvent déployer plusieurs restrictions :

  • Restreindre PowerShell : Configurer les stratégies de groupe (GPO) pour limiter l’exécution de scripts PowerShell aux utilisateurs autorisés uniquement (ex: via Constrained Language Mode).
  • Surveillance des binaires LotL : Mettre en place des alertes sur l’exécution de MSBuild.exe ou aspnet_compiler.exe dans des contextes inhabituels (ex: lancement par un navigateur ou depuis un répertoire temporaire).
  • Protection du navigateur : Utiliser des extensions de navigateur qui bloquent les passages en plein écran non sollicités ou les scripts suspect.

3. Vérification des sources

Toute alerte reçue par e-mail concernant un service tiers (comme Booking.com, PayPal, etc.) doit être vérifiée en ouvrant une nouvelle fenêtre de navigation et en se connectant directement au service, sans passer par le lien fourni.

Tableau comparatif : Vrai BSOD vs Faux BSOD ClickFix

Pour aider à la distinction visuelle, voici les différences fondamentales à observer :

CritèreVrai BSOD WindowsFaux BSOD ClickFix
ContexteApparait lors d’une utilisation normale de l’OS ou des applications.Apparait dans un onglet de navigateur web après un clic sur un lien.
InstructionsAffiche un code d’erreur et demande un redémarrage.Propose des étapes de correction manuelle (coller une commande).
NavigationBloque toute interaction avec le système (boucle de redémarrage).Permet de naviguer sur la page ou de fermer l’onglet.
ProcessusGéré par le noyau Windows (kernel).Géré par JavaScript du navigateur.

Conclusion : La vigilance comme vaccin

L’attaque ClickFix démontre une fois de plus que la frontière entre sécurité logicielle et humaine s’amincit. En 2026, les cybercriminels ne cherchent plus seulement à exploiter des failles de code, mais des failles de processus et de stress.

La sophistication de cette campagne, allant du clone de site web à l’utilisation de compilateurs légitimes, exige une posture de sécurité proactive. La règle d’or reste simple : jamais, sous aucun prétexte, un utilisateur ne doit coller de commande fournie par un e-mail ou un site web inconnu dans l’invite d’exécution de Windows. Si un écran de panique apparaît dans votre navigateur, fermez l’onglet, ne suivez aucune instruction. C’est le seul moyen de transformer le piège en simple tentative avortée.