Attention aux CAPTCHA "Je ne suis pas un robot", qui deviennent une arme redoutable pour les hackers

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 07 avril 2025 à 10h51

Les cybercriminels exploitent notre habitude à cliquer sur les tests CAPTCHA pour diffuser des logiciels malveillants. Cette nouvelle technique d'arnaque, qui profite de notre « tolérance au clic », inquiète les experts.

Les CAPTCHA deviennent de vrais armes entre les mains des cybercriminels. © Alexandre Boero / Clubic

L'utilisation de faux tests CAPTCHA « Je ne suis pas un robot » pour infecter nos appareils, pousse HP à lancer l'alerte dans son dernier rapport sur la menace cyber. À l'heure où nous sommes habitués à multiplier les étapes d'authentification en ligne, les hackers exploitent cette routine pour nous faire cliquer sans méfiance sur des éléments malveillants. Ce phénomène, que HP appelle la « tolérance au clic », devient un vrai vecteur d'attaque privilégié chez les cybercriminels.

Des CAPTCHA qui cachent bien leur jeu

Les chercheurs de HP ont révélé lundi avoir identifié plusieurs campagnes au sein desquelles les cybercriminels créent de faux tests CAPTCHA, qui amènent les victimes vers des sites sous leur contrôle. Une fois sur ces sites, les utilisateurs sont invités à compléter plusieurs étapes d'authentification frauduleuses, comme ils le feraient de façon légitime sur d'autres plateformes. Sans s'en rendre compte, ils exécutent alors des commandes PowerShell malveillantes sur leur PC.

Dans le détail, ces commandes installent silencieusement des chevaux de Troie à accès distant (RAT), ou des voleurs d'informations (infostealers) comme le célèbre Lumma Stealer, déjà connu d'ailleurs sur le terrain du faux CAPTCHA. Plus inquiétant encore, ces malwares peuvent accéder aux données sensibles stockées sur l'appareil et parfois même prendre le contrôle complet du système de la victime.

Les attaquants profitent aussi du fait que les bots deviennent de plus en plus performants pour contourner les CAPTCHA légitimes, ce qui pousse les plateformes à complexifier leurs processus d'authentification. Cette complexification nous habitue à effectuer davantage de vérifications. Et tout ça nous rend, au final, moins méfiants face aux multiples étapes proposées par les hackers.

Des techniques d'attaque de plus en plus diversifiées

Le rapport révèle aussi d'autres stratégies préoccupantes, comme la diffusion du cheval de Troie XenoRAT. Ce logiciel open-source, qui dispose de fonctionnalités avancées de surveillance, est capable de prendre le contrôle du microphone et de la webcam des victimes. Les attaquants utilisent ici l'ingénierie sociale pour convaincre les utilisateurs d'activer les macros dans des documents Word et Excel.

Une autre technique, non moins sophistiquée, consiste à dissimuler du code JavaScript malveillant dans des images vectorielles SVG. Les images s'ouvrent par défaut dans les navigateurs web et exécutent automatiquement le code malveillant, pour déployer jusqu'à sept charges virales différentes. Dans le lot, on retrouve toujours des chevaux de Troie et des voleurs d'informations.

Les cybercriminels exploitent aussi la popularité croissante de Python pour créer des scripts malveillants. Avec l'explosion de l'intelligence artificielle générative et de la data science, ce langage est de plus en plus présent sur les machines des utilisateurs, ce qui lui permet de devenir une opportunité de plus pour les attaques. Selon le rapport, au moins 11% des menaces par e-mail identifiées ont contourné une ou plusieurs passerelles de messagerie. Le danger est bien présent, et il est tenace.

À découvrir

Meilleur antivirus, le comparatif en avril 2025

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Piratage / Cybercriminalité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (10)

Feunoir

Le seul truc qui me choque dans le tas c’est le passage sur le svg. Du javascript de svg qui peut faire tout cela ? J’imagine qu’il y a des raccourcis et que l’interface chaise-clavier doit être en cause comme dans les autres cas?
Car executer un .py ou un .ps1 sans savoir ce que cela fait je me dis qu’on ne va jamais y arriver. Mais pourquoi tous les executables/scripts comme cela ne s’affichent pas en rouge sang dans les systèmes d’exploitation? Vu qu’ils cachent les extensions de fichier par défaut ce serait un minimum (les fichiers office avec macro seraient en orange sanguin?)

Hanandano

Ca revient régulièrement ce truc, on avait déjà un autre contributeur qui avait fait le relai de ce sujet. Y’a ça le jeu de caractère inversé pour tromper les miniatures de l’OS aussi. Tu crois que c’est un fichier word ? Perdu c’est un exe.

Krypton_80

Les chercheurs de HP ont révélé lundi avoir identifié plusieurs campagnes au sein desquelles les cybercriminels créent de faux tests CAPTCHA, qui amènent les victimes vers des sites sous leur contrôle.

J’ai peut-être loupé un truc, mais ils les placent où leurs faux tests CAPTCHA au départ, sur des sites légitimes ? (Comme Google Search ou YouTube quand on utilise un VPN par exemple). Parce que pour amener des victimes vers des sites vérolés, un simple lien dans un courriel fait la même chose, non ?

Blap

Deja le fait que Windows cache les extensions par defaut est une hérésie. Combien de gens avec un fichier « vacances.jpg.exe » se sont fait avoir a cause du .exe caché par cette preference ?

Hanandano

Alors quand on regarde un peu on s’apercoit qu’Alexandre (en plus du SAF recycle un peu, puisqu’on avait déjà eu ça en septembre : Le CAPTCHA, censé différencier les humains des robots, peut aussi cacher des logiciels malveillants, et ce n'est pas rassurant. Mais là c’était McAfee pas Hp.

Pour la source d’HP qu’on doit chercher nous même elle est là : HP Wolf Security Threat Insights Report: March 2025 | HP Wolf Security et elle confirme que c’est bien depuis la seconde moitié de 2024 que ça monte (bien vu McAfee).
Tu peux trouver des exemples en page 3 mais en gros ça passe par des sites hébergé sur des offres gratuites (netlify, cloudflare, vercel, etc.) qui utilisent la bonne réputation de ces ip pour servir les faux CAPTCHA. Ensuite l’utilisateur y est amené par les méthodes habituelles. Pub en ligne, SEO hijacking, site compromis qui redirigent vers la page infectée… c’est là que l’utilisateur se voit proposer le CAPTCHA.

En tout cas c’est bien d’avertir régulièrement sur ces menaces, ensuite pas sur que présenté ainsi elles soient bien comprises.

Essylt

Donc trois menaces ici :

les captcha
les images vectorielles vérolées
les scripts malveillants dans Python.
On s’en protège comment, et comment les reconnait- on ?

Hanandano

Alors il y a plusieurs possibilités et pistes que je peux te donner (mais n’étant pas un expert sur le sujet, je peux au mieux donner des conseils de prudence et surtout dire qu’il faut se renseigner.)

Il me semble que le papier de sir Boero est en partie mal informé. Ce qui ne serait pas très grave s’il fournissait la source, il serait ainsi facile pour ceux ayant des doutes ou voulant clarifier certains passages de le faire.

Bref, pour ce qui est des CAPTCHA. Déjà il s’agit de sites montés pour l’occasion la plupart du temps, donc il s’agit d’abord d’être vigilant lors de la navigation. Ensuite, la méthode expliqué dans l’article est un peu trompeuse, ce n’est pas aussi simple que ce passage le laisse penser.

Une fois sur ces sites, les utilisateurs sont invités à compléter plusieurs étapes d’authentification frauduleuses, comme ils le feraient de façon légitime sur d’autres plateformes. Sans s’en rendre compte, ils exécutent alors des commandes PowerShell malveillantes sur leur PC.

La partie « les utilisateurs sont invités à compléter plusieurs étapes d’authentification frauduleuses, comme ils le feraient de façon légitime sur d’autres plateformes » ne correspond pas à la réalité tout simplement. D’après le papier des chercheurs de chez HP voici ce qu’on peut lire :

First, when the user clicks on the « I’m not a robot » button, this triggers JavaScript on the webpage to store a malicious PowerShell command in the user’s clipboard.

Ça ok, c’est anodin. Et on ne s’en aperçoit pas (sauf si t’as un truc qui inspecte ton presse papier). Mais la suite devient plus suspecte.

Next, the user is told to open the Windows Run prompt using the WIN+R keyboard shortcut, then paste and run the PowerShell code by pressing the CTRL+V and Enter keys. The Power Shell command is short and simply downloads and runs a malicious script hosted on another website.

Donc en gros le CAPTCHA te demande d’ouvrir cette fenêtre et de colle le contenu de ton presse papier (la commande avec le code malveillant)

Si ça ça n’éveille pas tes soupçons, et que tu as l’habitude de faire ça pour accéder à un site internet, alors il y a un problème. On est pas du tout dans une « étape d’authentification » et c’est encore moins quelque chose que les utilisateurs « feraient de façon légitime sur d’autres plateformes ».

Pour ce qui est des solutions, HP propose de désactiver le partage du presse papier, et si l’utilisateur n’en a pas besoin désactiver Windows Run. Mais là encore une vigilance associé à une petite culture info permet de ne pas tomber dans le panneau.

Pour le SVG, là encore c’est un peu plus compliqué que ce que laisse penser ce passage :

Une autre technique, non moins sophistiquée, consiste à dissimuler du code JavaScript malveillant dans des images vectorielles SVG. Les images s’ouvrent par défaut dans les navigateurs web et exécutent automatiquement le code malveillant, pour déployer jusqu’à sept charges virales différentes.

Si on regarder le document d’HP :

When the malicious SVG image is opened in a web browser, the embedded script runs, giving attackers a way to decode and download a malicious file that may otherwise have been detected by an email gateway scanner. In this case, an HTML file is downloaded and decoded. This file contains a meta-tag that opens a remote WebDAV network share in a File Explorer window (T1021)." To make the network share look like a local folder the attackers set the window title to « Downloads ».

This folder contains one file called

YQBVSA80293GSBAV83290_pdf.lnk. To trick the user into thinking this file is a PDF document, this file was named with a double file extension (T1036.007) and its icon was set to a PDF logo. 2 Double clicking the link file causes a VBScript (T1059.005) and then a batch script to run.13

Il faut donc bien une action de l’utilisateur ici ouvrir un faux document pdf qui va executer l’attaque. @Feunoir avait donc un bon blair quand il suspectait un défaut d’ICC.

Et pour Python, il s’agit d’une variation de l’attaque précédente. Avec la diffusion des interpréteur python (merci l’IA) sur les machines, executer le code est devenu possible sur un plus grand nombre de machine. Une parade possible pourrait être de ne pas avoir d’interpréteur directement sur la machine. Mais là encore il faut une action de l’utilisateur d’abord.

J’espère que sa répond à ta question @Essylt . Et si Alexandre voulait bien sourcer les infos très utiles qu’il donne on y gagnerait tous. Make Clubic Great Again

PS: je remets le lien vers le document ou tu trouves toutes ces infos HP Wolf Security Threat Insights Report: March 2025 | HP Wolf Security

Essylt

Merci pour ces explications, c’est beaucoup plus clair en effet, et moins inquiétant. Merci aussi pour la source !

dblais

Et que Google Mail cache les adresses courriel…

elnaenia

Merci !