Ce faux captcha est un virus déguisé

[laliche]

Un faux logiciel malveillant Captcha attaque les pc pour exécuter des commandes PowerShell.

Une campagne de logiciels malveillants sophistiquée cible les utilisateurs de Windows via des invites de vérification CAPTCHA trompeuses qui incitent les victimes à exécuter des scripts PowerShell malveillants.
Cette résurgence des fausses attaques CAPTCHA, identifiées début février 2025, représente une menace croissante alors que les attaquants continuent d'employer des tactiques d'ingénierie sociale pour contourner les mesures de sécurité et compromettre les systèmes.
L'attaque commence lorsque les utilisateurs rencontrent ce qui semble être une vérification CAPTCHA standard sur des sites Web compromis ou malveillants.

Une fois le faux petit défi affiché, un script invisible écrit automatiquement une commande PowerShell dans le presse-papiers.

L'utilisateur reçoit alors des instructions précises, comme appuyer sur Windows + R pour ouvrir la boîte « Exécuter », puis Ctrl + V pour coller le contenu malveillant, et enfin Entrée pour lancer l'infection.

Cependant, au lieu de simplement prouver qu’ils sont humains, les utilisateurs sont invités à exécuter une commande PowerShell qui lance un processus d’infection en plusieurs étapes.
Cette commande est déguisée dans le cadre du processus de vérification, ce qui la fait paraître légitime aux yeux des utilisateurs sans méfiance.
Les chercheurs de Trustwave SpiderLabs ont remarqué cette campagne lors d'une enquête ACTH (Advanced Continual Threat Hunt).
Cette chaîne d'attaque produit finalement des infostealers dangereux tels que Lumma et Vidar, conçus pour voler des informations sensibles à partir de systèmes compromis et maintenir la persistance.

Lorsque les utilisateurs exécutent la commande trompeuse, celle-ci lance une série de scripts PowerShell complexes et chiffrés.

Une fois le piège refermé, les conséquences sont loin d'être anecdotiques.
Les malwares les plus fréquemment déployés incluent LummaStealer pour dérober vos informations sensibles, même si ce dernier vient de subir un sérieux coup d'arrêt ; mais aussi NetSupport RAT pour prendre le contrôle à distance de votre ordinateur, ou encore SectopRAT pour espionner discrètement vos activités en ligne.
L'attaque tire sa force de l'utilisation d'outils Windows parfaitement légitimes, surnommés LOLBINS (Living Off The Land Binaries).
PowerShell, mshta.exe ou certutil.exe deviennent les complices involontaires des cybercriminels, permettant de contourner les défenses traditionnelles avec une facilité déconcertante, grâce à leur statut « de confiance ».

 

Pour se protéger, la vigilance reste le maître-mot.

Retenez donc cette règle absolue : aucun site web légitime ne vous demandera de coller du code dans la boîte « Exécuter » de Windows.

Les entreprises peuvent renforcer leur sécurité en restreignant l'accès à PowerShell en mettant en place des stratégies de groupe et en déployant des solutions EDR modernes capables de détecter ces comportements suspects.

Modifié le 28 mai par laliche