L’OFCS alerte: des attaquants injectent des logiciels malveillants en un clic
L’OFCS alerte sur une hausse des signalements liés à «ClickFix», une méthode d’ingénierie sociale utilisée par des cybercriminels qui pousse les internautes à installer, en un clic, des logiciels malveillants destinés au vol de données sensibles.
Une nouvelle tactique d’ingénierie sociale, baptisée «ClickFix», sévit actuellement en Suisse. Elle consiste à proposer une prétendue solution rapide («fix») à un faux problème technique, déclenchée par un simple clic. L’Office fédéral de la cybersécurité (OFCS) indique enregistrer une hausse des signalements liés à cette méthode.
Les cybercriminels exploitent des sites web mal sécurisés ou des annonces publicitaires pour rediriger les internautes vers des pages piégées. Celles-ci affichent ensuite une fenêtre contextuelle ou un encart superposé simulant un problème technique, par exemple une mise à jour du navigateur ayant échoué, un souci DNS ou un CAPTCHA soi-disant défectueux.
Selon l’OFCS, les utilisatrices et utilisateurs ne se rendent souvent pas compte que, dès l’ouverture de la page, du code malveillant est déjà copié dans le presse-papiers. Ils sont ensuite invités à exécuter une combinaison de touches; en appuyant sur la touche «Enter», la commande copiée est alors exécutée et déclenche l’infection.
Une fois la commande lancée, le script tente d’établir une connexion avec un serveur afin de télécharger un programme malveillant. Comme l’ordre de téléchargement émane apparemment de l’utilisateur lui-même, de nombreux antivirus ne détectent pas l’attaque, précise l’office. Dans la plupart des cas, un infostealer est installé: il extrait les mots de passe enregistrés dans les navigateurs, vide des portefeuilles de crypto-monnaies ou vole des cookies permettant aux attaquants d’accéder à des comptes sans mot de passe. Dans un environnement professionnel, ce type d’intrusion peut constituer le point de départ d’une attaque par rançongiciel, avertit l’autorité.
«CrashFix»: une variante plus élaborée
Depuis le début de l’année, les attaquants recourent également à une méthode complémentaire appelée «CrashFix». Celle-ci repose sur la diffusion d’extensions de navigateurs malveillants, déguisées en outils tels que des bloqueurs de publicité.
Après un certain temps, ces extensions provoquent volontairement un plantage du navigateur. Lors du redémarrage, un message invite alors l’utilisateur à saisir des commandes pour corriger le prétendu dysfonctionnement. Là encore, cela aboutit à l’installation d’un logiciel malveillant.
Recommandations de l’OFCS
L’autorité recommande de faire preuve d’une grande méfiance face aux messages annonçant des mises à jour de navigateur ou des erreurs techniques sur des sites web. Les mises à jour officielles s’effectuent exclusivement via les paramètres intégrés du navigateur, et non par des sites externes. Il ne faut en aucun cas coller ou exécuter du code provenant de sources inconnues dans PowerShell (Windows), le Terminal (macOS) ou l’invite de commande. L’OFCS déconseille également l’installation de logiciels issus de sources non fiables.
Les entreprises sont invitées à sensibiliser leur personnel à cette méthode d’attaque. Les personnes concernées sont encouragées à signaler immédiatement tout incident de ce type à l’OFCS.
