Selon une publication spécialisée diffusée le 16 février 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingénierie sociale.

Les attaquants abusent des requêtes DNS comme canal au cœur de ces campagnes, marquant la première utilisation connue du DNS dans ce contexte.

Cette évolution de la tactique sert à livrer des malwares via le mécanisme DNS, intégrée à l’ingénierie sociale propre à ClickFix.

ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT)

Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS”
https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/

Résumé

Une nouvelle variante de ClickFix (campagnes d’ingénierie sociale qui poussent la victime à exécuter elle-même des commandes “correctives”) détourne désormais des requêtes DNS comme canal de livraison.
Dans les observations rapportées par Microsoft, la victime est incitée à exécuter une commande dans Windows Run qui lance un nslookup vers un serveur DNS contrôlé par l’attaquant. La réponse DNS renvoie un champ NAME: contenant une commande PowerShell de second niveau, ensuite exécutée via cmd.exe.
La chaîne d’infection télécharge ensuite une archive ZIP embarquant un runtime Python et des scripts malveillants (reconnaissance), met en place une persistance via VBScript + raccourci de démarrage, puis déploie le RAT ModeloRAT pour la prise de contrôle à distance.

IOC observables

Réseau / Infrastructure

  • IP (serveur DNS de l’attaquant) : 84[.]21[.]189[.]20
  • Domaine utilisé dans l’exemple de lookup : example.com (requête envoyée à l’IP ci-dessus)

Artefacts / Persistance (Windows)

  • VBScript : %APPDATA%\WPy64-31401\python\script.vbs
  • Raccourci Startup : %STARTUP%\MonitoringService.lnk
  • Répertoire / marqueur : WPy64-31401 (runtime Python + scripts dans l’arborescence AppData)

Malware / Charge finale

  • RAT : ModeloRAT

TTPs (extraits)

  • Ingénierie sociale / User Execution : l’utilisateur est incité à exécuter une commande “de correction” (ClickFix) (MITRE T1204).
  • Exécution via Windows Run + cmd : lancement de commande via cmd.exe (MITRE T1059.003).
  • PowerShell : exécution de charge de 2e stade via PowerShell (MITRE T1059.001).
  • C2 / Staging via DNS : utilisation du DNS comme canal de livraison/communication (MITRE T1071.004).
  • Transfert d’outils / payload : téléchargement d’une archive (ZIP) et d’éléments additionnels (MITRE T1105).
  • Persistance : démarrage automatique via raccourci dans le dossier Startup (MITRE T1547.009).
  • VBScript : exécution de script VBS pour persistance/chargement (MITRE T1059.005).
  • Reconnaissance : collecte d’infos système / domaine via scripts (MITRE TA0007, selon description).
  • Accès distant : déploiement d’un RAT (contrôle à distance) (MITRE TA0011 / TA0002 selon usage).

Type d’article : analyse de menace visant à signaler une évolution technique dans les campagnes ClickFix.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/