<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Zuhe.dll on CyberVeille</title>
    <link>https://cyberveille.ch/tags/zuhe.dll/</link>
    <description>Recent content in Zuhe.dll on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Sat, 18 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/zuhe.dll/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>ClickFix : une méthodologie d&#39;attaque industrialisée invisible aux EDR et antivirus</title>
      <link>https://cyberveille.ch/posts/2026-07-18-clickfix-une-methodologie-d-attaque-industrialisee-invisible-aux-edr-et-antivirus/</link>
      <pubDate>Sat, 18 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-18-clickfix-une-methodologie-d-attaque-industrialisee-invisible-aux-edr-et-antivirus/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Article de recherche publié le 16 juillet 2026 par Toni Dujmović, analyste chez ReversingLabs, basé sur une investigation réelle déclenchée par une attaque de type &lt;em&gt;watering hole&lt;/em&gt; ciblant le site d&amp;rsquo;une association étudiante universitaire.&lt;/p&gt;
&lt;h2 id=&#34;-mécanisme-dattaque-clickfix&#34;&gt;🎯 Mécanisme d&amp;rsquo;attaque ClickFix&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;ClickFix&lt;/strong&gt; est une technique d&amp;rsquo;ingénierie sociale qui exploite la confiance des utilisateurs plutôt que leurs lacunes en connaissances. Le déroulement type :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;La victime atterrit sur une page frauduleuse imitant une vérification Google, une mise à jour navigateur ou une erreur Cloudflare&lt;/li&gt;
&lt;li&gt;Un &lt;strong&gt;script JavaScript écrit silencieusement une commande malveillante dans le presse-papiers&lt;/strong&gt; de la victime avant toute interaction&lt;/li&gt;
&lt;li&gt;La victime est invitée à ouvrir le dialogue &lt;strong&gt;Windows Run (Win+R)&lt;/strong&gt; ou le Terminal macOS, coller la commande et l&amp;rsquo;exécuter&lt;/li&gt;
&lt;li&gt;Le payload s&amp;rsquo;exécute &lt;strong&gt;entièrement en mémoire&lt;/strong&gt;, sans toucher le disque&lt;/li&gt;
&lt;li&gt;La chaîne d&amp;rsquo;exécution passe par des binaires système légitimes signés (&lt;strong&gt;PowerShell, mshta.exe, curl, rundll32.exe&lt;/strong&gt;) — technique LOLBaS&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-industrialisation-via-maas&#34;&gt;🏭 Industrialisation via MaaS&lt;/h2&gt;
&lt;p&gt;ClickFix est désormais un &lt;strong&gt;Malware-as-a-Service (MaaS)&lt;/strong&gt; mature :&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
