Une nouvelle campagne de phishing utilise de fausses pages de vrification CAPTCHA pour inciter les utilisateurs de Windows excuter des commandes PowerShell malveillantes et installer le logiciel malveillant Lumma Stealer pour voler des informations sensibles. Pour se protger de cette nouvelle campagne, mfiez-vous des demandes de vrification inhabituelles, comme des demandes d’excuter des commandes via la bote de dialogue « Excuter ».
Un captcha est un type de test dfi-rponse utilis en informatique pour dterminer si l’utilisateur est humain afin de dcourager les attaques de bots et le spam. Un type de CAPTCHA historiquement courant (affich comme reCAPTCHA v1) ncessite la saisie d’une squence de lettres ou de chiffres dans une image dforme. Deux services CAPTCHA largement utiliss sont reCAPTCHA de Google et le service indpendant hCaptcha. Il faut environ 10 secondes une personne moyenne pour rsoudre un CAPTCHA typique.
Les chercheurs en cyberscurit de CloudSek ont dcouvert une nouvelle campagne de phishing qui incite les utilisateurs excuter des commandes malveillantes par le biais de fausses pages de vrification humaine. Cette campagne, qui cible principalement les utilisateurs de Windows, vise installer le logiciel malveillant Lumma Stealer, ce qui entrane le vol d’informations sensibles.
Comment l’attaque fonctionne-t-elle ?
Les acteurs de la menace crent des sites d’hameonnage hbergs sur diverses plateformes, y compris les buckets Amazon S3 et les rseaux de diffusion de contenu (CDN). Ces sites imitent des pages de vrification lgitimes, telles que de fausses pages CAPTCHA de Google. Lorsque les utilisateurs cliquent sur le bouton « Verify« , ils reoivent des instructions inhabituelles :
l’insu de l’utilisateur, ces actions excutent une fonction JavaScript cache qui copie une commande PowerShell code en base64 dans le presse-papiers. Lorsque l’utilisateur colle et excute la commande, il tlcharge le logiciel malveillant Lumma Stealer partir d’un serveur distant.
Le rapport de CloudSek a rvl que le logiciel malveillant tlcharg re-tlcharge souvent des composants malveillants supplmentaires, ce qui rend la dtection et la suppression plus difficiles. Bien qu’elle soit actuellement utilise pour diffuser Lumma Stealer, cette technique pourrait tre facilement adapte pour diffuser d’autres types de logiciels malveillants.
Pour information, Lumma Stealer est conu pour voler des donnes sensibles sur l’appareil infect. Bien que les donnes spcifiques cibles puissent varier, il s’agit souvent d’identifiants de connexion, d’informations financires et de fichiers personnels. Cette dernire campagne a eu lieu quelques jours seulement aprs que le logiciel malveillant a t surpris en train de se dguiser en outil de piratage OnlyFans, infectant les appareils d’autres pirates.
En janvier 2024, on a dcouvert que Lumma se propageait par le biais de logiciels pirats distribus via des chanes YouTube compromises. Auparavant, en novembre 2023, des chercheurs avaient identifi une nouvelle version de LummaC2, appele LummaC2 v4.0, qui volait les donnes des utilisateurs en utilisant des techniques trigonomtriques pour dtecter les utilisateurs humains.
Que faire ?
Maintenant que la nouvelle vague d’infection par le voleur Lumma a t signale, les entreprises et les utilisateurs peu mfiants doivent rester vigilants et viter de tomber dans le pige de la dernire escroquerie de fausse vrification. Voici quelques rgles de bon sens et des conseils simples mais essentiels pour se protger contre Lumma et d’autres voleurs similaires :
- Informez-vous et informez les autres : Partagez ces informations avec vos amis, votre famille et vos collgues afin de les sensibiliser cette nouvelle menace.
- Mfiez-vous des demandes de vrification inhabituelles : Les sites web lgitimes demandent rarement aux utilisateurs d’excuter des commandes via la bote de dialogue « Excuter ». Mfiez-vous de tout site qui fait de telles demandes.
- Ne copiez pas et ne collez pas de commandes inconnues : vitez de copier et de coller tout ce qui provient de sources non fiables, en particulier les commandes destines tre excutes dans un terminal ou une invite de commande.
- Mettez vos logiciels jour : Assurez-vous que votre systme d’exploitation et votre logiciel antivirus sont jour et qu’ils corrigent les vulnrabilits connues.
Source : Rapport de Cloudsek
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :