Cet étrange CAPTCHA pourrait être un malware

Cet étrange CAPTCHA pourrait être un malware


Une campagne de logiciels malveillants exploite l’omniprésent processus CAPTCHA pour voler les données de victimes peu méfiantes.

Comme le décrit l’entreprise de sécurité Malwarebytes dans un nouveau rapport, ce stratagème repose sur la facilité avec laquelle les gens suivent souvent les étapes d’un CAPTCHA sans réfléchir.

Comment fonctionne l’attaque

Vous arrivez sur un site web qui promet des films, de la musique, des images, des articles d’actualité ou tout autre contenu intéressant. Une invite CAPTCHA apparaît, vous demandant de prouver que vous n’êtes pas un robot. Comme nous sommes tous habitués à ce type de demandes, beaucoup d’entre nous n’hésitent pas à les accepter.

Mais au lieu de l’habituel CAPTCHA qui vous demande de choisir certaines images dans un tableau ou d’identifier des caractères déformés, celui-ci vous donne les instructions présentées dans l’image ci-dessous :

Malwarebytes

À ce stade, la plupart des utilisateurs avertis se rendent compte que quelque chose ne va pas et quittent le site. Mais n’oubliez pas que les cybercriminels ne ciblent pas les utilisateurs avertis. Ils essaient d’atteindre des personnes moins averties et plus faciles à piéger. Et même les utilisateurs avertis, pressés ou en pilotage automatique, peuvent tomber dans le piège.

Un piège fatal

Si vous suivez les étapes, le site web copie une chaîne de texte dans votre presse-papiers Windows. Normalement, vous devriez donner votre autorisation pour une telle action, mais vous l’avez déjà fait en cochant une case sur le premier écran de l’invite CAPTCHA.

Comme on peut le voir dans le champ de texte de Windows Run, la chaîne dit simplement : « Je ne suis pas un robot — reCAPTCHA Verification ID : 8253 ». Mais dans les coulisses se cache une autre chaîne, qui exécute une commande Windows appelée Mshta.exe.

Normalement, ce fichier est une commande légitime et sûre utilisée pour exécuter du code. Mais les pirates et les escrocs peuvent facilement l’exploiter pour télécharger et installer des logiciels malveillants. Et c’est exactement ce qui se passe ici.

Windows Run command for a CAPTCHA challenge

Malwarebytes

Infecter votre PC afin de voler des données sensibles

Dans ce cas, Mshta récupère un fichier multimédia malveillant sur le site web. Le nom du fichier peut sembler assez innocent. Malwarebytes dit avoir vu des fichiers portant des extensions telles que mp3, mp4, jpg, jpeg, swf et html.

Mais le fichier lui-même contient une commande PowerShell qui télécharge et exécute de manière invisible la charge utile destructrice.

Dans le passé, le logiciel malveillant téléchargé était presque toujours l’infostealer Lumma Stealer. Mais dans les campagnes les plus récentes, les attaquants ont plutôt utilisé SecTopRAT. Quoi qu’il en soit, le logiciel malveillant est conçu pour infecter votre PC afin de voler des données sensibles.

Comment se protéger contre cette attaque par CAPTCHA ?

Outre la connaissance des tactiques, comment pouvez-vous vous protéger contre cette campagne et d’autres similaires ?

Malwarebytes propose quelques conseils :

  1. Ne suivez jamais les instructions données sur un site web sans y avoir réfléchi au préalable.
  2. Utilisez un programme de sécurité et une extension de navigateur qui bloquent les sites web et les scripts malveillants.
  3. Désactivez JavaScript dans votre navigateur si vous visitez des sites web aléatoires ou inconnus. Dans la campagne décrite par Malwarebytes, l’accès au presse-papiers se fait via une fonction JavaScript. La désactivation de JavaScript fera échouer l’attaque, mais elle risque de vous empêcher d’utiliser de nombreux sites que vous visitez régulièrement. Vous pouvez vouloir le bloquer en général, mais l’autoriser pour des sites spécifiques.

Mais alors comment désactiver JavaScript ?

Pour désactiver JavaScript dans Google Chrome

  • Allez dans Paramètres, sélectionnez Confidentialité et sécurité, puis cliquez sur Paramètres du site
  • Cliquez sur le paramètre JavaScript et modifiez l’option en « Désactiver JavaScript pour tous les sites »
  • Vous pouvez ensuite ajouter des sites spécifiques autorisés à utiliser JavaScript.

Comment désactiver JavaScript dans Edge

  • Allez dans Paramètres, sélectionnez Cookies et autorisations de site, puis cliquez sur JavaScript
  • Désactivez l’option Autorisé, puis ajoutez les sites individuels pour lesquels vous souhaitez que JavaScript fonctionne

Pour désactiver JavaScript dans Firefox

  • Vous devez installer un module complémentaire tiers ou utiliser l’éditeur de configuration
  • Pour cela, tapez about:config dans le champ d’adresse et acceptez le risque pour continuer
  • Tapez javascript.enabled dans le champ de recherche et sélectionnez le résultat
  • Double-cliquez dessus pour changer la valeur de true à false.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.