ClickFix, DNS hijacking et malware : trois mots-clés qui résument parfaitement cette nouvelle évolution d’une campagne d’ingénierie sociale aussi sournoise qu’efficace. Les attaquants ne se contentent plus de piéger les utilisateurs avec de faux CAPTCHA ou des messages d’erreur bidon. Désormais, ils les manipulent pour modifier eux-mêmes leurs paramètres DNS, ouvrant ainsi la porte à l’installation de malwares.
Oui, vous avez bien lu : l’utilisateur devient l’acteur principal de sa propre compromission.
🎭 ClickFix : quand le faux dépannage devient une attaque
Le principe des attaques ClickFix est d’une simplicité redoutable. On exploite un réflexe humain universel :
👉 « Oh mince, un problème… je vais le corriger. »
Sur un site compromis (ou une page frauduleuse bien maquillée), la victime voit apparaître :
- un faux message d’erreur,
- un CAPTCHA fantôme,
- une alerte de sécurité inquiétante,
- ou un magnifique « Cliquez ici pour réparer ».
L’objectif ? Créer un sentiment d’urgence ou de frustration.
A lire : ClickFix : le CAPTCHA que vous allez regretter d’avoir coché
Le scénario classique :
- Une fenêtre surgit : « Une erreur empêche l’accès au contenu »
- On propose une “solution rapide”
- On demande à l’utilisateur de copier un script
- Puis de le coller dans Exécuter / Run / PowerShell
Et voilà. Rideau.
📋 La mécanique psychologique : copier-coller vers le désastre
Pourquoi ça marche si bien ?
Parce que :
✅ Copier-coller = geste banal
✅ PowerShell / Run = outils légitimes
✅ Script = incompréhensible pour la majorité
L’utilisateur pense :
« Je ne fais rien de dangereux, je colle juste ce qu’on me dit… »
Spoiler : si, c’est dangereux.
Les scripts exécutés peuvent :
- télécharger un payload,
- exécuter du code distant,
- désactiver des protections,
- établir une persistance.
Mais la nouveauté récente ajoute une couche encore plus perverse.
🌐 La nouvelle variante : DNS Hijacking “assisté par utilisateur”
Dans cette évolution, les attaquants exploitent une idée brillante (dans le mauvais sens du terme) :
👉 Utiliser les requêtes DNS comme canal discret de récupération du malware
Plutôt que de pointer vers une URL suspecte ou un serveur C2 identifiable :
- le script modifie la configuration DNS,
- redirige les requêtes vers un serveur contrôlé par l’attaquant,
- utilise des lookups DNS pour récupérer la suite de l’infection.
Résultat :
✅ Trafic DNS = normal dans tous les réseaux
✅ Peu surveillé en détail
✅ Rarement bloqué
✅ Difficile à distinguer du bruit légitime
Les solutions de sécurité traditionnelles voient :
« Du DNS… comme d’habitude. »
Alors que c’est :
« Du DNS… mais empoisonné. »
🧬 Chaîne d’infection typique
Voici à quoi ressemble souvent l’attaque :
1️⃣ Lure / Appât
Faux CAPTCHA, erreur navigateur, alerte de sécurité.
2️⃣ Manipulation
« Copiez ce correctif dans PowerShell »
3️⃣ Exécution
Script malveillant lancé par la victime elle-même.
4️⃣ Modification DNS
Changement vers des serveurs DNS frauduleux.
5️⃣ Lookup malveillant
Requêtes DNS récupérant :
- commandes,
- payloads,
- instructions d’exécution.
6️⃣ Installation malware
Loader → Stealer / RAT / Ransomware / etc.
🕵️ Pourquoi cette technique est redoutable
Parce qu’elle combine :
🔥 Ingénierie sociale
🔥 Outils système légitimes
🔥 DNS (protocole critique et autorisé)
Et surtout :
👉 Aucune exploitation technique complexe nécessaire
Pas besoin de :
- 0-day,
- exploit kernel,
- bypass EDR sophistiqué.
L’utilisateur fait le travail.
🚨 Indicateurs d’alerte à surveiller
Quelques signaux faibles :
- Changement inattendu des serveurs DNS
- PowerShell lancé par un utilisateur non IT
- Scripts copiés depuis un navigateur
- Requêtes DNS vers domaines exotiques / aléatoires
- Trafic DNS anormalement volumineux
Côté SOC / IT :
✔ Vérifier logs PowerShell
✔ Monitorer modifications réseau
✔ Surveiller configuration DNS endpoints
🛡️ Comment s’en protéger (sans devenir parano… mais presque)
👤 Pour les utilisateurs
❌ Ne jamais copier-coller un script depuis un site web
❌ Ne jamais exécuter une commande incomprise
❌ Se méfier des faux CAPTCHA / erreurs
Règle simple :
👉 Un site web n’a jamais besoin que vous ouvriez PowerShell.
🏢 Pour les entreprises
✅ 1. Bloquer / restreindre PowerShell
- ExecutionPolicy
- Constrained Language Mode
- AppLocker / WDAC
✅ 2. Verrouiller les paramètres DNS
- GPO
- droits admin limités
✅ 3. Surveiller les changements réseau
- DNS config
- proxy / firewall logs
✅ 4. Inspection DNS
- DNS logging
- détection tunneling / anomalies
✅ 5. Sensibilisation utilisateur
Encore et toujours.
Parce que :
👉 La meilleure techno du monde ne corrige pas un clic idiot.
🧠 Le vrai problème : l’humain exploitable
ClickFix rappelle une vérité désagréable :
Les attaques modernes ciblent moins les failles techniques que les failles cognitives.
Fatigue numérique, automatisme, confiance excessive :
- « Je dois cliquer »
- « Je dois corriger »
- « C’est sûrement normal »
Non. Ce n’est pas normal.
💥 Conclusion : ClickFix, ou l’art de faire appuyer sur le bouton rouge
Cette nouvelle vague d’attaques ClickFix dopée au DNS hijacking montre une évolution inquiétante :
👉 Discrétion maximale
👉 Détection complexe
👉 Exploitation purement comportementale
La leçon ?
✔ Former les utilisateurs
✔ Restreindre les outils puissants
✔ Surveiller DNS et PowerShell
✔ Traiter chaque “copier-coller système” comme suspect
Parce qu’aujourd’hui, l’attaquant n’a plus besoin de hacker votre machine.
Il suffit que vous le fassiez pour lui.
