Les cybercriminels exploitent notre habitude à cliquer sur les tests CAPTCHA pour diffuser des logiciels malveillants. Cette nouvelle technique d'arnaque, qui profite de notre « tolérance au clic », inquiète les experts.

Les CAPTCHA deviennent de vrais armes entre les mains des cybercriminels. © Alexandre Boero / Clubic
Les CAPTCHA deviennent de vrais armes entre les mains des cybercriminels. © Alexandre Boero / Clubic

L'utilisation de faux tests CAPTCHA « Je ne suis pas un robot » pour infecter nos appareils, pousse HP à lancer l'alerte dans son dernier rapport sur la menace cyber. À l'heure où nous sommes habitués à multiplier les étapes d'authentification en ligne, les hackers exploitent cette routine pour nous faire cliquer sans méfiance sur des éléments malveillants. Ce phénomène, que HP appelle la « tolérance au clic », devient un vrai vecteur d'attaque privilégié chez les cybercriminels.

Des CAPTCHA qui cachent bien leur jeu

Les chercheurs de HP ont révélé lundi avoir identifié plusieurs campagnes au sein desquelles les cybercriminels créent de faux tests CAPTCHA, qui amènent les victimes vers des sites sous leur contrôle. Une fois sur ces sites, les utilisateurs sont invités à compléter plusieurs étapes d'authentification frauduleuses, comme ils le feraient de façon légitime sur d'autres plateformes. Sans s'en rendre compte, ils exécutent alors des commandes PowerShell malveillantes sur leur PC.

Dans le détail, ces commandes installent silencieusement des chevaux de Troie à accès distant (RAT), ou des voleurs d'informations (infostealers) comme le célèbre Lumma Stealer, déjà connu d'ailleurs sur le terrain du faux CAPTCHA. Plus inquiétant encore, ces malwares peuvent accéder aux données sensibles stockées sur l'appareil et parfois même prendre le contrôle complet du système de la victime.

Les attaquants profitent aussi du fait que les bots deviennent de plus en plus performants pour contourner les CAPTCHA légitimes, ce qui pousse les plateformes à complexifier leurs processus d'authentification. Cette complexification nous habitue à effectuer davantage de vérifications. Et tout ça nous rend, au final, moins méfiants face aux multiples étapes proposées par les hackers.

Des techniques d'attaque de plus en plus diversifiées

Le rapport révèle aussi d'autres stratégies préoccupantes, comme la diffusion du cheval de Troie XenoRAT. Ce logiciel open-source, qui dispose de fonctionnalités avancées de surveillance, est capable de prendre le contrôle du microphone et de la webcam des victimes. Les attaquants utilisent ici l'ingénierie sociale pour convaincre les utilisateurs d'activer les macros dans des documents Word et Excel.

Une autre technique, non moins sophistiquée, consiste à dissimuler du code JavaScript malveillant dans des images vectorielles SVG. Les images s'ouvrent par défaut dans les navigateurs web et exécutent automatiquement le code malveillant, pour déployer jusqu'à sept charges virales différentes. Dans le lot, on retrouve toujours des chevaux de Troie et des voleurs d'informations.

Les cybercriminels exploitent aussi la popularité croissante de Python pour créer des scripts malveillants. Avec l'explosion de l'intelligence artificielle générative et de la data science, ce langage est de plus en plus présent sur les machines des utilisateurs, ce qui lui permet de devenir une opportunité de plus pour les attaques. Selon le rapport, au moins 11% des menaces par e-mail identifiées ont contourné une ou plusieurs passerelles de messagerie. Le danger est bien présent, et il est tenace.