ClickFix avait déjà réussi à faire exécuter des commandes PowerShell en quelques clics. Sa nouvelle déclinaison, FileFix, va plus loin en détournant l’Explorateur de fichiers lui-même.
- FileFix détourne l'Explorateur Windows pour exécuter des commandes PowerShell, déguisées en chemins d'accès ordinaires.
- Les utilisateurs sont trompés en collant des commandes dans l'Explorateur, pensant accéder à des fichiers.
- Pour éviter FileFix, vérifiez toujours le contenu du presse-papiers avant de coller dans l'Explorateur.
Depuis quelque temps déjà, les campagnes ClickFix poussent les internautes à coller une commande PowerShell copiée automatiquement depuis un site piégé, sous prétexte de corriger un bug ou de valider un CAPTCHA. Une ruse d’autant plus efficace et dangereuse qu’elle s’appuie sur des gestes familiers et donne l’impression de suivre une procédure de dépannage classique, exploitée aussi bien par des cybercriminels que par certains groupes étatiques. Mais une nouvelle variante, imaginée par le chercheur en cybersécurité mr.d0x, pousse le concept un cran plus loin. Baptisée FileFix, elle reprend le principe de ClickFix tout en le transposant dans un environnement plus rassurant : l’Explorateur de fichiers Windows.
De ClickFix à FileFix : même recette, nouvel emballage
À première vue, la méthode ne diffère pas tant des traditionnelles attaques de ClickFix. Une page de phishing prétend partager avec vous un document ou une ressource, et affiche un bouton « Ouvrir dans l’Explorateur », censé simplifier l’accès au contenu. De fait, ce bouton déclenche bien l’ouverture de l’Explorateur de fichiers… et copie en même temps dans le presse-papiers une commande PowerShell maquillée en chemin d’accès ordinaire.
La page vous invite alors à coller ce « chemin » dans la barre d’adresse de l’Explorateur pour retrouver facilement le fichier à récupérer. Mais ce que vous collez en réalité est une ligne de commande PowerShell, enchaînée à une commande d’ouverture de dossier parfaitement banale. Or, vous ne le saviez peut-être pas, mais la barre d’adresse de l’Explorateur ne se contente pas d’ouvrir des répertoires : elle est aussi capable d’interpréter des commandes, et de les exécuter si la syntaxe s’y prête.
Par conséquent, le script malveillant s’exécute en arrière-plan, tandis que l’Explorateur se contente d’ouvrir le répertoire appelé. Dans la barre d’adresse, vous ne voyez que ce chemin factice, ce qui rend l’action totalement transparente. Pourtant, en collant ce même contenu dans un Bloc-notes, toute la commande s’afficherait noir sur blanc, script PowerShell inclus.
Un PoC amené à se répandre : comment éviter de tomber dans le piège FileFix
À ce stade, rien n’a donc encore alerté la victime. Et c’est bien là la force de FileFix : faire passer une commande pour un chemin d’accès tout bête, dans une interface connue, sans jamais sortir du cadre familier. Là où un terminal ou une fenêtre PowerShell aurait pu semer le doute, l’Explorateur inspire confiance. On y navigue tous les jours, et coller une ligne dans sa barre d’adresse ne semble ni risqué, ni étrange.
Le meilleur moyen de ne pas tomber dans le panneau, c’est donc de reconnaître ce qui n’a rien à faire là. Une page web qui vous demande de copier un chemin dans l’Explorateur de fichiers, ou de coller une adresse sortie de nulle part n’est jamais une procédure normale, ni pour ouvrir un document, ni pour résoudre un problème.
Avant de coller quoi que ce soit, surtout après avoir cliqué sur un bouton en ligne, prenez le temps de jeter un œil à ce que contient votre presse-papiers (Ctrl+V dans un bloc-notes suffit).
Enfin, gardez en tête qu’aucun service légitime – ni Microsoft, ni un outil pro, ni un site de partage – ne vous demandera jamais de passer par l’Explorateur pour récupérer un fichier partagé avec vous. Si c’est le cas, il est déjà temps de refermer l’onglet.
Source : mr.d0x
