12 décembre 2025
SOSPC
ACTUALITESCharly

Clickfix, une technique d'ingénierie sociale redoutable, par Charly

Charly
il y a 2 semaines
11 Commentaires
4 minutes de lecture

Une technique d'ingénierie sociale peu connue refait son apparition, elle s'appelle Clickfix et elle a déjà fait des dégâts parmi les développeurs et les techniciens. 

Celle-ci passe entre les mailles du filet de vos antivirus, et pour cause, elle vous incite à commettre une erreur et elle peut être très persuasive… :wacko:  

Plus d'infos ici : https://arstechnica.com/security/2025/11/clickfix-may-be-the-biggest-security-threat-your-family-has-never-heard-of/

Cette technique consiste à vous inciter à faire un simple copier-coller et via un faux site Web qui renvoie vers le célèbre site Github par exemplegage de confiance…

***

Anatomie du piège

 

Celui-ci peut utiliser un simple CAPTCHA et le tour est joué. 

  • Mais à la différence d'un CAPTCHA ordinaire (vélo & piétons, etc.), après le traditionnel "je suis un Humain", il donne ensuite d'autres instructions :

Pour les utilisateurs du site Github (dont je fais partie), il faudra ouvrir l'œil et le bon. 

Si vous avez l'habitude de télécharger ou copier un Script, un .reg ou autres, faîtes donc très attention si vous ne voulez pas compromettre votre machine, nul besoin donc d'avoir un compte ici, une simple inattention de votre part suffira. 

Notez bien que le site Github n'est qu'un exemple parmi d'autres…

Habitué de Github vous pouvez recevoir le message suivant : "Nous avons détecté une vulnérabilité de sécurité dans votre dépôt. Veuillez nous contacter à l'adresse https:[///-github-scanner-[..com pour obtenir plus d'informations sur la manière de résoudre ce problème. Meilleures salutations, Équipe de sécurité de Github.

Et là rebelote, vous serez cordialement invité à commettre l'erreur en cliquant sur le lien. mur  

La tactique : Le JavaScript du site Web a copié une "chaîne" dans le presse-papier de l'utilisateur, le Windows + R ouvre le dialogue d'exécution. Le Contrôle + V + touche Entrée exécutera une commande dissimulée si vous ne faites pas attention.

  • Le faux CAPTCHA :

  • Le download.txt contient :

Le site --> https:[///-github-scanner est un faux !

Ceci permet et en presque toute transparence, de télécharger et de sauvegarder cette cochonnerie dans les entrailles de Windows (SysSetup.exe ?).

Si ce Malware est connu de beaucoup d'antivirus, il n'est pas encore sur la liste de blocage de Google Chrome (au moment où j'écris cet article), et comme vous êtes très nombreux à l'utiliser, celui-ci ne se méfiera pas…

Un Malware donc qui s'en prend aux développeurs et autres techniciens crédules, mais pas seulement.

Le site github-scanner.com prétend être géré par l'équipe de sécurité de GitHub, il n'en est rien, c'est un piège. 

Celui-ci est un lien externe alors que GitHub dispose de ses propres outils pour scanner du code. 

Aficionados du site vous scannez, passez en revue vos résultats à l'aide d'un scan "offert" par GitHub, mais en aucun cas il ne se trouve sur un site externe

  • Comme je l'ai souligné Il existe aussi des variantes, notamment sur Edge faisant croire que celui-ci est obsolète, encore une fois on vous pousse à la faute…

Note : Les Systèmes Linux et MacOs peuvent être affectés également. Ces attaques varient, pour vous inciter à cliquer sur un CAPTCHA ou autre, d'autres exemples sur Edge, Chrome, Discord : https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/

Ces attaques reposent sur deux facteurs : 

  • L'accord de l'utilisateur et l'accès du navigateur au presse-papiers.
  • Les pièces jointes à vos mails sont concernées et aussi via les tentatives de phishing
  • De fausses pubs sur des sites peu regardants.

***

Comment se prémunir ?

 

  1. Ne jamais copier-coller une commande sans vérification préalable.
  2. Vérifier les liens, les sources venant de Discord, GitHub, etc.
  3. Avoir un antivirus à jour et efficace (analyse comportementale).
  4. Pour les plus aguerris vous pouvez aussi activer si besoin les journaux des commandes pour des vérifications ultérieures.
  5. Vous savez tous ce qu'est un CAPTCHA, celui-ci veut juste savoir si vous êtes un HUMAIN, rien d'autre
  6. Un bon bloqueur de publicités est un plus.

***

En résumé

 

  • Création d’un faux environnement possible (clone de GitHub, Google doc, etc.).
  • Affichage d’un faux message d’erreur possible.
  • Une fausse solution technique peut vous être proposée.
  • Exécution de la commande malveillante en cas de clic (acceptation).
  • Vols de vos données et/ou Ransomwares.
  • Corrompre le SEO (faux sites et bien référencés par Google, un comble…).
  • Utilisation de sites connus comme GitHub, discord etc.
  • Faux supports techniques - solutions postées sur les réseaux sociaux.
  • Des hébergements temporaires sont utilisés (pastebin and co).

Vos antivirus peuvent limiter les dégâts (si à jour), mais c'est l'utilisateur qui ouvre les portes à l'attaquant…

Ne jamais suivre une invitation à ouvrir une application comme le PowerShell ou le dialogue Windows run pour y coller un script, un texte ou tout autre chose.

Un Captcha ne vous demandera jamais de faire un copier-coller pour valider quoi que ce soit.

Cette ingénierie sociale démontre à quel point elle peut éclipser certaines défenses techniques, car l'utilisateur peut devenir, et à l'insu de son plein gré, l'instrument principal du pirate.

Belle journée,

Charly

Charly

https://micropart.weebly.com/

***

SOSPC c'est plus de 2000 articles,

Rejoignez la Communauté à partir de 2 € par mois !

Plus d'infos sur les avantages en cliquant ICI.

Christophe, Administrateur

EmailFacebook
wpdiscuz   wpDiscuz

Vous pourriez aussi aimer

Archives

Les derniers articles

11
0
N'hésitez pas à laisser un commentaire !x