CAPTCHA malveillants : attention aux fausses vérifications diffusant des malwares
Avant de valider votre identité humaine, méfiez-vous des pages de vérification frauduleuses qui constituent un nouveau vecteur d'attaque pour propager des malwares.
Les bots représentent désormais plus de la moitié du trafic Internet. Si certains sont légitimes (crawlers de Google, web scrapers), près de 40% sont malveillants et servent à diverses attaques : spam sur réseaux sociaux, attaques DDoS, et compromission de comptes via des mots de passe précédemment volés.
Face aux défis CAPTCHA traditionnels, la plupart des utilisateurs cliquent instinctivement pour prouver leur humanité. Cependant, certaines pages sont entièrement frauduleuses et représentent un danger majeur. ClickFix illustre parfaitement cette menace d'ingénierie sociale émergente. Cette technique exploite de faux CAPTCHA pour déployer des infostealers, ransomwares, RAT, cryptominers et même des malwares d'acteurs étatiques.
Les facteurs de réussite des CAPTCHA malveillants
Cette attaque exploite notre familiarité avec les CAPTCHA légitimes et notre tendance à naviguer rapidement. Elle tire parti de notre habitude des vérifications multi-étapes et masque l'activité malveillante aux solutions de sécurité en utilisant des outils Windows légitimes. L'exposition peut survenir via des liens malveillants dans des emails, SMS ou messages de phishing, amplifiés par l'IA générative qui améliore la qualité linguistique des attaques. Les malvertising sur sites légitimes compromis représentent également un risque élevé, ne nécessitant aucune interaction utilisateur.
À quoi ressemblent les CAPTCHA malveillants ?
Visuellement légitimes, les faux CAPTCHA demandent des actions suspectes au lieu des tâches habituelles (reconnaissance d'images, saisie de texte). Ils instruisent l'utilisateur à cliquer pour se vérifier, puis à utiliser Windows+R, Ctrl+V pour coller une commande malveillante, et Entrée pour l'exécuter. Cette commande active des outils Windows légitimes (PowerShell, mshta.exe) pour télécharger des payloads malveillants depuis des serveurs distants, visant généralement à installer des infostealers.
Exemple d'un faux contrôle CAPTCHA (source : ESET Threat Report H1 2025)
Ces malwares scannent les systèmes pour voler identifiants, photos, contacts et données sensibles, revendus sur le dark web ou utilisés pour l'usurpation d'identité. Ils ciblent navigateurs, clients mail, wallets crypto, applications et OS via captures d'écran, keylogging et autres techniques de collecte.
En 2024, plus de 23 millions de victimes d'infostealers ont été recensées, principalement sur Windows, avec plus de 2 milliards d'identifiants volés. Lumma Stealer, l'un des plus répandus, a compromis jusqu'à 10 millions d'appareils avant d'être neutralisé par une opération internationale impliquant ESET. Les CAPTCHA malveillants peuvent également installer des RAT comme AsyncRAT, actif depuis 2019 et observé dans 4% des incidents 2024, spécialisé dans l'accès distant, le vol de données et l'enregistrement de frappes.
Comment se protéger des CAPTCHA malveillants ?
Pour rester à l'abri des CAPTCHA malveillants, appliquez les mesures préventives suivantes :
· Restez attentif aux demandes CAPTCHA inhabituelles comme celles énumérées ci-dessus.
· Méfiez-vous de tout défi CAPTCHA qui semble surgir de nulle part.
· Gardez votre système d'exploitation et votre logiciel de navigation à jour.
· Installez une solution de sécurité réputée et actualisée.
· Ne téléchargez pas de logiciels piratés, car ils pourraient contenir des logiciels malveillants.
· Utilisez un bloqueur de publicités, qui vous empêcherait d'être exposé à tout contenu diffusé via une publicité en ligne malveillante.
Que faire en cas de compromission ?
Si le pire se produit et que vous exécutez involontairement un CAPTCHA malveillant :
· Lancez une analyse complète des logiciels pour trouver et purger la machine de tout logiciel malveillant qui aurait pu être téléchargé secrètement.
· Déconnectez-vous d'Internet et sauvegardez localement vos données sensibles.
· Réinitialisez le système de votre appareil.
· Modifiez tous vos mots de passe à l'aide d’un gestionnaire de mot de passe.
· Activez l'authentification multifacteur (MFA) pour tous les comptes
Une compromission via CAPTCHA malveillant n'est pas irrémédiable, mais nécessite une réaction rapide et méthodique.