Les hackers ont utilisé de fausses pages CAPTCHA pour diffuser un logiciel malveillant sur Windows

Comment les attaquants utilisent des pages CAPTCHA frauduleuses

De nouveaux chercheurs ont découvert une vulnérabilité qui permet aux hackers de tromper les utilisateurs Windows et de les obliger à exécuter un script malveillant PowerShell. Le script, nommé Stealthy StealC Information Stealer, vole des données du navigateur, des mots‑de‑passe pour des portefeuilles de cryptomonnaies, des comptes Steam et Outlook, puis envoie tout cela ainsi que des captures d’écran au serveur de contrôle.

Que se passe-t-il lors de l’attaque ?
1. Pages CAPTCHA factices

Les hackers publient une interface de vérification frauduleuse qui ressemble à une page CAPTCHA ordinaire. Sur ces pages, l’utilisateur voit la « demande » d’appuyer sur le raccourci Windows + R (ouvrir la boîte de dialogue Exécuter) puis Ctrl + V (coller depuis le presse‑papier).

2. Lancement de PowerShell depuis le presse‑papier

Le script PowerShell exécutable est préalablement chargé dans le presse‑papier. En suivant les instructions, l’utilisateur l’exécute manuellement sans se douter de la nature malveillante de la commande.

3. Téléchargement et diffusion du code

Après son lancement, le script se connecte à un serveur distant et télécharge un code malveillant supplémentaire. Le trafic est chiffré avec le protocole RC4, ce qui rend sa détection difficile pour les moyens de sécurité classiques.

Pourquoi c’est dangereux ?
- Contournement des protections traditionnelles – les mécanismes habituels de blocage du téléchargement de fichiers peuvent ne pas fonctionner, car le script est déjà en cours d’exécution dans le système.
- Large éventail de données volées – des mots‑de‑passe de navigateurs aux clés de cryptomonnaies et comptes de services populaires.
- Invisibilité pour l’utilisateur – l’action ressemble à une vérification de sécurité normale plutôt qu’à un lancement de logiciel malveillant.

Comment se protéger ?
Mesure | Ce que fait
--- | ---
Limiter l’utilisation de PowerShell | Mettre en place des politiques interdisant l’exécution de scripts non signés.
Contrôle d’applications Windows | Activer AppLocker ou un système similaire de contrôle d’exécution de programmes.
Surveillance du trafic sortant | Suivre les connexions suspectes (par ex., trafic HTTP chiffré RC4) et les bloquer.

En suivant ces recommandations, vous pouvez réduire considérablement le risque que l’utilisateur devienne victime d’une telle attaque.