Impossible de passer Ă cĂ´tĂ© des CAPTCHA, ces outils de sĂ©curitĂ© qui visent Ă Ă©vincer les bots et autres programmes d’accĂ©der Ă certaines parties de sites internet ou services. L’idĂ©e est simple : proposer Ă un intervenant humain de rĂ©aliser une opĂ©ration pour vĂ©rifier qu’il n’est pas un robot… Mais sous cette apparente sĂ©curitĂ© peut dĂ©sormais se cacher un vecteur redoutable de malwares.
Le captcha détourné de sa fonction
La fonction première d’un CAPTCHA est de bloquer les bots automatisĂ©s tout en laissant passer les utilisateurs lĂ©gitimes. Cette fonction de barrière de sĂ©curitĂ© inspire confiance. C’est prĂ©cisĂ©ment cette confiance que les pirates exploitent : en prĂ©sentant un test qui ressemble Ă un vrai CAPTCHA, ils endorment la mĂ©fiance de l’utilisateur. Des experts en sĂ©curitĂ© de HP ont ainsi repĂ©rĂ© de faux CAPTCHA utilisĂ©s dans des campagnes de piratage.
Comment fonctionne l’arnaque ?
L’utilisateur est confrontĂ© Ă une imitation de test « Je ne suis pas un robot » ou Ă une sĂ©lection d’images. Croyant effectuer une vĂ©rification de sĂ©curitĂ© standard, il interagit avec le faux module (en cochant une case, en cliquant sur des images). C’est cette interaction qui dĂ©clenche l’action malveillante : le tĂ©lĂ©chargement et/ou l’installation d’un malware sur son appareil.
Une arme redoutable pour les hackers
Cette technique baptisĂ©e « tolĂ©rance au clic » par HP se rĂ©vèle ĂŞtre un vecteur d’infection particulièrement efficace, d’autant que peu d’utilisateurs sont en capacitĂ© de suspecter son rĂ©el but. En se faisant passer pour une Ă©tape lĂ©gitime, les hackers augmentent considĂ©rablement les chances que l’utilisateur interagisse et compromette ainsi sa propre machine. Le type de virus distribuĂ© peut varier allant des chevaux de Troie Ă accès distant (RAT), keylogger, infostealers et bien d’autres… Le panel Ă disposition des hackers est consĂ©quent, et la menace d’autant plus importante pour les victimes potentielles.
L’objectif est toujours le mĂŞme : subtiliser des comptes utilisateurs, informations personnelles, donnĂ©es bancaires pour directement les exploiter dans des opĂ©rations d’usurpation d’identitĂ© ou la revente de donnĂ©es sur le Dark Web.
Les experts mettent en avant l’utilisation de cette attaque pour la propagation du cheval de Troie XenoRAT, un outil de contrĂ´le Ă distance particulièrement avancĂ© et disposant de nombreux outils aux actions variĂ©es.
Restez vigilant face aux faux captcha
Il devient donc nĂ©cessaire d’ĂŞtre vigilant mĂŞme face Ă ces tests anti-robots. Sur des sites web inconnus ou suspects, un CAPTCHA doit inciter Ă la prudence. Bien qu’il soit difficile de distinguer un faux d’un vrai au premier coup d’Ĺ“il sans analyse technique, la prĂ©sence d’un CAPTCHA sur une page au contenu douteux doit renforcer la mĂ©fiance et dissuader de toute interaction.
Comments are Closed