En bref

  • DeepLoad est un nouveau loader malveillant distribué via la technique ClickFix, qui vole les identifiants stockés dans les navigateurs.
  • Le malware utilise l'obfuscation assistée par IA et la persistance WMI pour échapper à la détection et se réinstaller automatiquement.
  • ReliaQuest alerte sur un potentiel de diffusion massive, les campagnes ClickFix étant en forte hausse depuis début 2026.

Ce qui s'est passé

Les chercheurs de ReliaQuest ont identifié un malware loader inédit baptisé DeepLoad, distribué via des campagnes ClickFix. Cette technique d'ingénierie sociale, désormais omniprésente dans le paysage des menaces, incite les victimes à copier-coller une commande PowerShell dans la boîte de dialogue Exécuter de Windows, sous prétexte de résoudre un problème technique fictif. La commande déclenche le téléchargement du loader via mshta.exe, un utilitaire Windows légitime.

Une fois installé, DeepLoad déploie simultanément un stealer autonome et une extension navigateur malveillante. Le vol d'identifiants commence immédiatement : mots de passe enregistrés, cookies de session, et frappes clavier sont capturés en temps réel. Selon les analystes, le malware emploie une obfuscation vraisemblablement générée par IA et de l'injection de processus pour échapper aux scanners statiques, une approche qui rappelle d'autres campagnes récentes comme Slopoly, le ransomware généré par IA.

L'aspect le plus préoccupant réside dans son mécanisme de persistance : DeepLoad crée un abonnement WMI (Windows Management Instrumentation) qui réexécute silencieusement l'attaque trois jours après un nettoyage, sans interaction utilisateur ni commande de l'attaquant. Cette technique brise les chaînes de processus parent-enfant que la plupart des règles de détection EDR surveillent, rendant la détection par les outils classiques particulièrement difficile.

Pourquoi c'est important

DeepLoad illustre la convergence de deux tendances majeures de 2026 : l'industrialisation de ClickFix comme vecteur de diffusion et l'utilisation de l'IA pour l'obfuscation de malware. Depuis janvier, les campagnes ClickFix se sont multipliées — ciblant macOS via Infinity Stealer, les développeurs via de fausses alertes VS Code sur GitHub, ou encore les entreprises via des ransomwares comme LeakNet.

La persistance WMI de DeepLoad constitue un défi majeur pour les équipes de réponse à incident. Un poste apparemment nettoyé peut se réinfecter automatiquement sans qu'aucune alerte ne soit déclenchée, ce qui impose de vérifier systématiquement les souscriptions WMI lors de tout processus de remédiation.

Ce qu'il faut retenir

  • Sensibilisez vos utilisateurs à ne jamais exécuter de commandes copiées depuis un site web, même si elles semblent résoudre un problème système.
  • Intégrez la vérification des souscriptions WMI dans vos procédures de réponse à incident (Get-WMIObject -Namespace rootSubscription -Class __EventFilter).
  • Bloquez l'exécution de mshta.exe par GPO pour les utilisateurs standards — c'est le vecteur initial de DeepLoad.

Point clé

DeepLoad combine ClickFix, obfuscation IA et persistance WMI pour voler des identifiants navigateur et se réinstaller automatiquement après nettoyage. Bloquer mshta.exe et auditer les souscriptions WMI sont les mesures de protection les plus efficaces. La tendance ClickFix s'accélère : formez vos équipes dès maintenant.

Comment détecter une infection DeepLoad sur un poste Windows ?

Recherchez les souscriptions WMI suspectes avec PowerShell (Get-WMIObject -Namespace rootSubscription -Class __EventFilter). Vérifiez également les extensions navigateur non répertoriées et les connexions sortantes vers des domaines inhabituels. Un poste nettoyé qui se réinfecte après quelques jours est un indicateur fort de persistance WMI. Les solutions EDR avancées avec surveillance WMI native offrent la meilleure couverture de détection.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact