Windows : méfiez-vous des CAPTCHA, ils peuvent vous faire installer un virus

Une nouvelle cyberattaque ClickFix vise les utilisateurs Windows. L’attaque repose sur une page web piégée avec un faux CAPTCHA qui va vous demander de copier‑coller une simple commande. En obéissant, vous ouvrez les portes de votre ordinateur à un redoutable virus, Amatera.

Une nouvelle cyberattaque vise les ordinateurs Windows. Selon les chercheurs de BlackPoint Cyber, l’attaque repose sur une tactique de type ClickFix. En d’autres termes, les pirates ne vont pas tenter d’exploiter des vulnérabilités dans le code du système d’exploitation ou dans un logiciel. Ils vont plutôt manipuler l’internaute pour le pousser à réaliser lui-même des actions malveillantes sur la machine. Ces derniers temps, les cyberattaques de type ClickFix se sont multipliées, que ce soit à l’encontre de Windows, Facebook ou encore Google Chrome.

En l’occurrence, l’offensive débute lorsque la victime se rend sur une page web malveillante. Une fois arrivée sur le site web mis au point par les cybercriminels, la cible va apercevoir un faux test CAPTCHA. Il prétend vérifier que l’utilisateur est bien un humain et pas un robot. C’est un mécanisme classique que l’on trouve sur la plupart des sites web. De facto, l’internaute ne voit rien d’anormal, ou d’inquiétant, à remplir le test.

Un script légitime détourné par les pirates

Pour prouver qu’il n’est pas un robot, l’utilisateur va être invité à copier‑coller une commande dans la fenêtre « Exécuter » de Windows, qui sert à lancer des programmes ou des commandes système. Comme vous l’aurez deviné, il s’agit d’une commande malveillante qui va permettre aux pirates d’arriver à leurs fins. Comme c’est l’utilisateur lui‑même qui exécute la commande, Windows considère cela comme une action légitime. Aucun mécanisme de sécurité n’est donc susceptible de s’activer pour bloquer l’attaque.

La commande va détourner un script Microsoft déjà présent sur Windows. Considéré comme une solution de confiance par les outils de sécurité, ce script officiel sert normalement à synchroniser et publier des applications virtualisées en entreprise. Par le biais des commandes tapées par l’utilisateur, et le site piégé, les pirates vont ajouter des paramètres dédiés au cœur du script. Ces paramètres vont injecter une commande PowerShell malveillante dans le script de Microsoft.

Un cheval de Troie

In fine, le script légitime va ouvrir PowerShell, l’outil en ligne de commande de Windows, et exécuter le code malveillant des cybercriminels. En clair, les pirates se servent d’un composant Microsoft légitime comme cheval de Troie. Le code va récupérer le fichier de configuration d’un malware sur un événement Google Agenda en ligne, ainsi que dans des images hébergées sur des services parfaitement légitimes. Ces images contiennent des morceaux du code malveillant, dissimulés à l’aide de la stéganographie, l’art de cacher une information dans une autre information.

PowerShell télécharge ces données, les décode, les décompresse et les assemble, mais sans créer de fichiers visibles sur le disque dur. Tout se déroule dans la mémoire, ce qui rend l’attaque beaucoup plus difficile à repérer par les antivirus classiques. Ce type d’attaque « peut ainsi contourner les systèmes de détection des logiciels malveillants, opérer discrètement sans déclencher d’alerte et n’être repérée qu’une fois les dégâts déjà causés ».

Au terme de l’opération, un virus intitulé Amatera fait son entrée sur l’ordinateur. Après avoir reçu ses instructions de la part des pirates, le malware va fouiller le navigateur, récupérer tous les identifiants, les cookies, et les données des cartes bancaires enregistrées. Toutes ces informations sont rapidement exfiltrées sur un serveur informatique à distance, sous le contrôle des cybercriminels. Comme l’expliquent les chercheurs de BlackPoint Cyber, Amatera fait partie de la catégorie des infostealers, ces redoutables virus taillés pour le vol de données à grande échelle.

« Ce qui fait l’originalité de cette campagne, ce n’est pas une technique en particulier, mais la précision de l’enchaînement. Chaque étape consolide la précédente, de l’action manuelle de l’utilisateur jusqu’au contrôle du presse‑papiers et au chargement de la configuration en temps réel », souligne BlackPoint Cyber.

Les chercheurs recommandent à Microsoft de configurer les PC pour que les utilisateurs ne puissent plus lancer n’importe quelle commande dans la petite fenêtre « Exécuter ». Ils conseillent aussi de désactiver le script légitime détourné dans l’attaque, si l’utilisateur ne s’en sert pas. Pour éviter les mauvaises surprises, ne copiez‑collez jamais une commande dans la fenêtre Exécuter et gardez votre ordinateur à jour.

Source : BlackPoint Cyber

__________________________________________________________________________________________________________