Vous êtes probablement bien acquis des tests CAPTCHA classiques sur les sites Web. Vous savez, la chose où vous devez cliquer pour confirmer que vous n’êtes pas un robot? Tapez les lettres et les chiffres étranges? Sélectionnez tous les feux de circulation, les bus, les motos, ce genre de chose? Ces tests sont principalement des nuisances et des pièges de collecte de données, mais les pirates se penchent désormais sur les captchas comme un moyen de inciter les utilisateurs à installer des logiciels malveillants.
Du moins, c’est ce dont les experts en sécurité mettent de plus en plus. Le mois dernier, MalwareBytes Labs a repéré un de ces faux captcha qui vous a fait coller un texte de «vérification» dans l’invite d’exécution de Windows. Récemment, il y a également été signalés d’un malware appelé «Quakbot» qui utilise une variante encore plus dangereuse de l’arnaque CAPTCHA.
Comment fonctionnent les escroqueries du captcha?
Les attaques de piratage via les captchas sont dangereuses car les utilisateurs cliquent sur eux par habitude lorsqu’ils apparaissent sur des sites Web. Les pirates exploitent désormais ce comportement de réaction instantanée avec de faux messages pop-up qui ressemblent étonnamment aux vrais tests CAPTCHA.
Ici aussi, les utilisateurs sont invités à cliquer sur une boîte pour résoudre un test. Cependant, lorsque vous cliquez sur cette case, vous finissez par rediriger vers d’autres pages. D’autres actions garantissent que les commandes dangereuses sont copiées dans votre presse-papiers, ce qui permet aux attaquants d’exécuter ces commandes dangereuses sur votre ordinateur sans autorisation.
Dans certains cas, ces captchas vous invitent même à appuyer sur certaines combinaisons de touches qui invoquent directement Windows PowerShell ou exécutent certaines commandes sur votre appareil. C’est pourquoi vous devriez être plus méfiant de toute demande CAPTCHA qui vous demande de faire quelque chose d’inhabituel.
Ces types d’attaques sont appelés attaques Clickfix Captcha car ils utilisent l’ingénierie sociale pour vous inciter à cliquer sur les faux captchas et autres éléments, qui déclenchent ensuite des réponses malveillantes.
Ces attaques sont étonnamment efficaces
Pour vous éloigner de vos orteils, chaque clic ultérieur dans une attaque Clickfix Captcha est déguisé par des «demandes de vérification» supplémentaires qui cachent la nature malveillante de ce que vous faites. Dans le pire des cas, cela se termine par l’exécution sans le savoir un script de malware qui prend le dessus sur votre PC.
Les attaques de CAPTCHA auraient un taux de réussite plus élevé que les autres tentatives d’arnaque en raison de leurs nouvelles astuces psychologiques qui s’attaquent à un comportement réflexive lorsque nos gardes sont en panne. La seule véritable protection est de rester vigilant, surtout lorsque vous visitez des sites Web inconnus. Et, bien sûr, avoir un logiciel antivirus fiable qui protège contre les menaces.
