Baptisée ClickFix, cette technique vise à piéger les internautes avec de faux CAPTCHA HTML très convaincants. L’objectif : pousser la victime à exécuter une commande malveillante sur son propre ordinateur, sans même s’en rendre compte.
Le piège du presse-papiers
La force de cette attaque vient de sa simplicité. Lorsqu’un faux CAPTCHA est affiché, un script invisible copie automatiquement une commande dans votre presse-papiers. Un message vous invite ensuite à :
- appuyer sur Windows + R
- faire Ctrl + V
- et appuyer sur Entrée
Ce que vous venez de lancer ? Un script PowerShell capable de télécharger et d’installer des logiciels malveillants. Et tout ça, en pensant simplement valider un test anti-bot.
Une diffusion massive et discrète
Les campagnes ClickFix ne se contentent pas d’un seul canal. Elles apparaissent sur :
- des sites légitimes piratés
- des faux sites web clonés
- des emails piégés avec des liens ou des pièces jointes
- des messages sur les réseaux sociaux
Même les utilisateurs les plus prudents peuvent tomber dans le panneau. Car à première vue, tout a l’air normal.
Des malwares qui prennent le contrôle total
Une fois la commande lancée, plusieurs malwares très actifs peuvent être installés. Parmi eux :
- LummaStealer, qui vole vos identifiants, mots de passe et données bancaires
- NetSupport RAT, un outil qui permet de contrôler votre PC à distance
- SectopRAT, qui espionne vos activités en ligne discrètement
Ce ne sont pas des virus classiques. Ils utilisent ce qu’on appelle des LOLBINS (Living Off The Land Binaries), des outils Windows intégrés comme PowerShell, mshta.exe ou certutil.exe. Des outils légitimes… mais devenus des complices parfaits pour contourner vos antivirus.
Comment ne pas se faire piéger ?
Les bons réflexes à adopter
Un vrai site ne vous demandera jamais de copier-coller du texte dans la boîte « Exécuter » de Windows. Si une vérification CAPTCHA vous donne cette consigne, quittez immédiatement la page.
Voici quelques conseils pour rester protégé :
- Ne collez jamais une commande dans « Exécuter » si vous ne comprenez pas ce qu’elle fait
- Évitez de télécharger des fichiers depuis des emails ou sites suspects
- Installez un antivirus fiable avec détection comportementale (type EDR)
- Sur un ordinateur d’entreprise, désactivez PowerShell pour les comptes standard
Les jeunes, premières cibles
Les hackers savent que les jeunes internautes ont l’habitude de zapper rapidement, de cliquer vite, de valider sans trop lire. C’est justement ce réflexe qu’ils exploitent. Alors, prenez votre temps : même un simple CAPTCHA peut cacher une attaque.
En quelques secondes d’inattention, vous pouvez leur donner le contrôle total de votre ordi. Et c’est encore plus vrai si vous utilisez votre PC pour des paiements, des jeux en ligne, ou si vous êtes connecté à vos réseaux sociaux.
