Les pirates utilisent CAPTCHA comme un vecteur d’attaque

Cet article étudie comment des cybercriminels utilisent des CHAPTCHA malveillants pour installer des «stealers» sur les ordinateurs de leurs victimes. Ils collectent des données sensibles – e-mails, mots de passe, adresses et informations financières. Il examine diverses méthodes d’attaque, notamment les attaques de points d’eau (ou watering hole attacks), l’utilisation abusive de publicités et l’empoisonnement des moteurs de recherche (SEO). Il fournit aussi des conseils pratiques pour vous protéger contre ces menaces sophistiquées.

Des chercheurs en sécurité mondiale ont observé que des CAPTCHA malveillants sont utilisés comme moyen d’installer des «stealers» sur les ordinateurs des victimes, collectant des données précieuses – e-mails, mots de passe, adresses et informations financières. Les attaques menées comprennent des attaques de points d’eau, abus de publicité et empoisonnements de moteurs de recherche.


Des CAPTCHA malveillants sont utilisés dans diverses campagnes de logiciels malveillants, généralement conçues pour cibler des groupes démographiques spécifiques. Par exemple, des fichiers PDF contenant apparemment des instructions pour utiliser ou installer des tricheurs dans les jeux vidéo sont distribués aux joueurs par empoisonnement de moteurs de recherche ou d’algorithmes. Cette technique permet au logiciel malveillant de se propager via Google et d’autres moteurs de recherche, via les descriptions de vidéos YouTube et les légendes TikTok, ainsi que via les bibliothèques PDF en ligne. Ces CAPTCHA sont également apparus sur des sites Web réels et légitimes après compromission par un acteur malveillant dans ce qu’on appelle une attaque de point d’eau.

 

Comment fonctionne l’attaque
Ce vecteur d’attaque peut être rencontré à tout moment lors d’une navigation innocente sur Internet, par exemple via des publicités intégrées, des résultats de moteurs de recherche malveillants, des réseaux sociaux, des attaques de points d’eau et des tentatives de phishing. L’empoisonnement du référencement permet de confronter les internautes à cette attaque en utilisant des moteurs de recherche tels que Google, Bing et Yahoo. Les résultats des moteurs de recherche peuvent afficher un fichier PDF hébergé sur des sites Web légitimes tels que WebFlow ou par des bibliothèques PDF indexées. Alternativement, des sites Web ont été compromis pour afficher ce CAPTCHA malveillant dans diverses attaques de points d’eau, affichant l’invite sur leur contenu ordinaire.

 

Qu’est-ce qu’un CAPTCHA?
Selon l' Université de Carnegie et Mellon un CAPTCHA (abréviation de «Completely Automated Public Turing Test To Tell Computers and Humans Apart») est un type de test de défi-réponse utilisé en informatique pour déterminer si l’utilisateur est humain afin de prévenir les attaques de robots et de spam.

Le CAPTCHA affiché est visuellement très similaire à ceux généralement utilisés sur de nombreux autres sites Web, mais propose des instructions qui peuvent prendre certaines personnes au dépourvu. La première chose présentée à l’utilisateur final est une case à cocher, avec des instructions pour cocher la case afin de faire progresser le processus de vérification. Il s’agit d’une pratique courante qui ne suscitera pas de soupçons au départ. Cependant, une fois la case cochée, le CAPTCHA fournit des instructions supplémentaires qui sont atypiques pour ce type de vérification humaine.

 



Illustration 1: Exemple de CAPTCHA intégré dans un site Web qui a été compromis lors d’une attaque de point d’eau, venant de l’Université du Michigan et édité pour plus de visibilité.

Ces instructions peuvent immédiatement faire tiquer bon nombre de nos lecteurs qui reconnaîtront qu’il s’agit d’une méthode non standard et dangereuse pour mettre en place un contrôle CAPTCHA. Cette technique s’est néanmoins avérée efficace dans l’infection d’un très grand nombre d’appareils. Lorsqu’une victime interagit avec l’interface utilisateur de la fenêtre CAPTCHA, une chaîne de caractères qui inclut une commande PowerShell dangereuse est copiée dans son presse-papier. PowerShell est un langage de script puissant principalement utilisé sous Windows, mais qui peut également être exécuté sur des environnements MacOS et Linux. La commande est une chaîne de texte copiée dans le presse-papier qui, une fois exécutée, demande à l’appareil de l’utilisateur de télécharger une charge utile à partir d’un hôte distant. La charge utile serait livrée sous la forme d’une image PNG malveillante. Cela est dû au fait que les formats de fichiers d’images ne sont généralement pas analysés pour la recherche de codes malveillants par les solutions antivirus, ce qui en fait un moyen simple de masquer les logiciels malveillants. Cela s’étend également à d’autres formats d’image, audio et vidéo.

 



Illustration 2: Exemple de l’interface de la fenêtre Exécuter (Run) ouverte à l’aide de Win + R où PowerShell et d’autres langages de script peuvent être utilisés.


L’interface de la fenêtre «Exécuter», ouverte à l’aide de Win + R sur les appareils Windows, dispose d’une petite boîte pour saisir du texte. Les utilisateurs non avertis qui collent leur presse-papier dans la zone de texte peuvent toutefois ignorer le contenu de la chaîne de caractères, car ils n’en verront que la fin qui peut contenir une phrase anodine telle que «Je ne suis pas un robot», formatée sous forme de commentaire afin de ne pas invalider le reste du code. Or à gauche de cette fenêtre initialement invisible pour l’utilisateur se trouve une commande permettant de télécharger et d’exécuter des logiciels malveillants à partir d’un hôte distant.

 



 

Illustration 3: Exemple de chaîne malveillante copiée dans le presse-papier qui téléchargera un logiciel malveillant une fois exécutée à partir de la fenêtre Exécuter. Dans ce cas, le script télécharge une copie du «stealer» Lumma formaté en tant que fichier .m4a, un format de fichier audio. Toutefois, le code réel de ce fichier ne fonctionnera pas comme audio et sera utilisé pour exécuter davantage de code malveillant sur l’appareil de la victime. Capture d’écran tirée du Threat Lab de Netskope (le 06.03.2025).

 

Il semblerait que des techniques similaires existent où le CAPTCHA est intégré dans des fichiers PDF téléchargés depuis Internet, par exemple via Google ou via des bibliothèques PDF. Ces PDF ont également été distribués par e-mail, même si les utilisateurs de PC ne se laisseront peut-être pas si facilement prendre par une vérification CAPTCHA affichée dans un fichier local. Les navigateurs modernes, où les utilisateurs s’attendent beaucoup plus à une vérification CAPTCHA, sont capables d’afficher les fichiers PDF sans problème après leur téléchargement, et de nombreuses bibliothèques PDF disposent d’une interface de visualisation intégrée. Les CAPTCHA affichés dans la fenêtre du navigateur sont bien plus susceptibles de tromper l’utilisateur final et de l’inciter à suivre les instructions.


Le résultat final diffère considérablement selon le type de logiciel malveillant installé. Des victimes signalent avoir reçu des alertes après le blocage automatique par leur ordinateur de certaines connexions réseau et le retour automatique de leurs navigateurs vers des versions non officielles compatibles avec le logiciel malveillant installé.


Les résultats de ces voleurs comprennent des rapports complets sur les sessions de cookies de la victime, noms d’utilisateur, e-mails, mots de passe, adresses et données financières enregistrés, ainsi que l’accès aux portefeuilles de cryptomonnaies basés sur des plugins de navigateur.


Se protéger
Même si ce type d’attaque peut sembler simple à éviter, nous sommes tous vulnérables à l’erreur humaine. On peut être fatigué, moins vigilant et ne pas s’attendre à être attaqué par un virus à ce moment-là. Or n’importe qui peut être victime de ces attaques, aussi simples qu’elles puissent paraître. Voici quelques points essentiels à retenir pour se protéger d’une attaque basée sur CAPTCHA.

  • Un CAPTCHA légitime ne demandera jamais d’utiliser la fenêtre Exécuter à quelque fin que ce soit.
  • Si vous voyez une vérification CAPTCHA sur un site Web ou une application où vous ne vous y attendez pas, faites une double vérification. Même les sites Web légitimes peuvent être compromis par des pirates.
  • Utilisez un gestionnaire de mots de passe sécurisé ainsi que l’authentification multifacteur (MFA) pour gérer et protéger vos mots de passe.
  • Adoptez une bonne hygiène informatique et faites preuve de vigilance lorsque vous naviguez sur Internet.


«J’ai exécuté une commande dans la fenêtre Exécuter le programme et mon ordinateur a été piraté, que dois-je faire?»
D’abord on se calme puis on applique les stratégies de remédiation standard par ordre de priorité. Si vous pensez que vos données financières ont pu être consultées, envisagez de bloquer vos cartes et votre banque en ligne. Vos comptes en ligne peuvent également avoir été compromis et vous devez garder à l’esprit que l’activité sur votre PC pourrait être surveillée. Par conséquent, utilisez si possible un autre appareil pour modifier vos mots de passe d’abord sur vos comptes financiers et chez vos fournisseurs de messagerie.

Si vous constatez que vos comptes ont été volés et que les identifiants ont été modifiés, vous devrez contacter l’équipe d’assistance de ce site Web ou de cette application pour faire modifier la modification.

Vous pouvez assurer la sécurité de votre ordinateur en sauvegardant les fichiers importants via le cloud ou sur un disque physique et avec l’installation d’une instance propre de votre système d’exploitation. Assurez-vous que tous les fichiers que vous sauvegardez sont analysés pour garantir que le logiciel malveillant ne s’intègre pas dans d’autres fichiers de votre appareil. Attention, les nouvelles partitions du système d’exploitation peuvent toujours être réinfectées par les anciennes partitions restant sur l’appareil.


Conclusion
Les attaques CAPTCHA réussissent parce que de nombreuses victimes sont mal informées sur les menaces actuelles et en raison d’erreurs humaines. Nous espérons que cet article vous aura éclairé sur ce nouveau vecteur de cyberattaque et que ces connaissances vous aideront à vous en protéger à l’avenir. Nous vous rappelons aussi l’importance de votre propre vigilance. Qu’il s’agisse de CAPTCHA ou d’une autre technologie, il est facile de se sentir à l’aise et d’oublier d’effectuer les vérifications habituelles de sécurité et de légitimité, et c’est ainsi que des attaques aussi simples continuent d’avoir autant de succès. Donc, en conclusion, résistez à l’envie de baisser la garde, même face au tracas d’un contrôle CAPTCHA. Suivez les meilleures pratiques et restez informé pour une meilleure sécurité de votre appareil et de vos données.

Les informations contenues dans cet article sont fournies à titre informatif uniquement. Elles ne constituent pas des conseils professionnels et ne sont pas garanties comme étant exactes, complètes, fiables, à jour ou sans erreur.