Les cybercriminels exploitent notre habitude à cliquer sur les tests CAPTCHA pour diffuser des logiciels malveillants. Cette nouvelle technique d’arnaque, qui profite de notre « tolérance au clic », inquiète les experts.
Le seul truc qui me choque dans le tas c’est le passage sur le svg. Du javascript de svg qui peut faire tout cela ? J’imagine qu’il y a des raccourcis et que l’interface chaise-clavier doit être en cause comme dans les autres cas?
Car executer un .py ou un .ps1 sans savoir ce que cela fait je me dis qu’on ne va jamais y arriver. Mais pourquoi tous les executables/scripts comme cela ne s’affichent pas en rouge sang dans les systèmes d’exploitation? Vu qu’ils cachent les extensions de fichier par défaut ce serait un minimum (les fichiers office avec macro seraient en orange sanguin?)
2 « J'aime »
Ca revient régulièrement ce truc, on avait déjà un autre contributeur qui avait fait le relai de ce sujet. Y’a ça le jeu de caractère inversé pour tromper les miniatures de l’OS aussi. Tu crois que c’est un fichier word ? Perdu c’est un exe. 
1 « J'aime »
Les chercheurs de HP ont révélé lundi avoir identifié plusieurs campagnes au sein desquelles les cybercriminels créent de faux tests CAPTCHA, qui amènent les victimes vers des sites sous leur contrôle.
J’ai peut-être loupé un truc, mais ils les placent où leurs faux tests CAPTCHA au départ, sur des sites légitimes ? (Comme Google Search ou YouTube quand on utilise un VPN par exemple). Parce que pour amener des victimes vers des sites vérolés, un simple lien dans un courriel fait la même chose, non ?
2 « J'aime »
Deja le fait que Windows cache les extensions par defaut est une hérésie. Combien de gens avec un fichier « vacances.jpg.exe » se sont fait avoir a cause du .exe caché par cette preference ?
4 « J'aime »
Alors quand on regarde un peu on s’apercoit qu’Alexandre (en plus du SAF 
recycle un peu, puisqu’on avait déjà eu ça en septembre : Le CAPTCHA, censé différencier les humains des robots, peut aussi cacher des logiciels malveillants, et ce n'est pas rassurant. Mais là c’était McAfee pas Hp.
Pour la source d’HP qu’on doit chercher nous même elle est là : HP Wolf Security Threat Insights Report: March 2025 | HP Wolf Security et elle confirme que c’est bien depuis la seconde moitié de 2024 que ça monte (bien vu McAfee).
Tu peux trouver des exemples en page 3 mais en gros ça passe par des sites hébergé sur des offres gratuites (netlify, cloudflare, vercel, etc.) qui utilisent la bonne réputation de ces ip pour servir les faux CAPTCHA. Ensuite l’utilisateur y est amené par les méthodes habituelles. Pub en ligne, SEO hijacking, site compromis qui redirigent vers la page infectée… c’est là que l’utilisateur se voit proposer le CAPTCHA.
En tout cas c’est bien d’avertir régulièrement sur ces menaces, ensuite pas sur que présenté ainsi elles soient bien comprises.
2 « J'aime »
Donc trois menaces ici :
- les captcha
- les images vectorielles vérolées
- les scripts malveillants dans Python.
On s’en protège comment, et comment les reconnait- on ?
3 « J'aime »
Alors il y a plusieurs possibilités et pistes que je peux te donner (mais n’étant pas un expert sur le sujet, je peux au mieux donner des conseils de prudence et surtout dire qu’il faut se renseigner.)
Il me semble que le papier de sir Boero est en partie mal informé. Ce qui ne serait pas très grave s’il fournissait la source, il serait ainsi facile pour ceux ayant des doutes ou voulant clarifier certains passages de le faire.
Bref, pour ce qui est des CAPTCHA. Déjà il s’agit de sites montés pour l’occasion la plupart du temps, donc il s’agit d’abord d’être vigilant lors de la navigation. Ensuite, la méthode expliqué dans l’article est un peu trompeuse, ce n’est pas aussi simple que ce passage le laisse penser.
Une fois sur ces sites, les utilisateurs sont invités à compléter plusieurs étapes d’authentification frauduleuses, comme ils le feraient de façon légitime sur d’autres plateformes. Sans s’en rendre compte, ils exécutent alors des commandes PowerShell malveillantes sur leur PC.
La partie « les utilisateurs sont invités à compléter plusieurs étapes d’authentification frauduleuses, comme ils le feraient de façon légitime sur d’autres plateformes » ne correspond pas à la réalité tout simplement. D’après le papier des chercheurs de chez HP voici ce qu’on peut lire :
First, when the user clicks on the « I’m not a robot » button, this triggers JavaScript on the webpage to store a malicious PowerShell command in the user’s clipboard.
Ça ok, c’est anodin. Et on ne s’en aperçoit pas (sauf si t’as un truc qui inspecte ton presse papier). Mais la suite devient plus suspecte.
Next, the user is told to open the Windows Run prompt using the WIN+R keyboard shortcut, then paste and run the PowerShell code by pressing the CTRL+V and Enter keys. The Power Shell command is short and simply downloads and runs a malicious script hosted on another website.
Donc en gros le CAPTCHA te demande d’ouvrir cette fenêtre et de colle le contenu de ton presse papier (la commande avec le code malveillant)
Si ça ça n’éveille pas tes soupçons, et que tu as l’habitude de faire ça pour accéder à un site internet, alors il y a un problème. On est pas du tout dans une « étape d’authentification » et c’est encore moins quelque chose que les utilisateurs « feraient de façon légitime sur d’autres plateformes ».
Pour ce qui est des solutions, HP propose de désactiver le partage du presse papier, et si l’utilisateur n’en a pas besoin désactiver Windows Run. Mais là encore une vigilance associé à une petite culture info permet de ne pas tomber dans le panneau.
Pour le SVG, là encore c’est un peu plus compliqué que ce que laisse penser ce passage :
Une autre technique, non moins sophistiquée, consiste à dissimuler du code JavaScript malveillant dans des images vectorielles SVG. Les images s’ouvrent par défaut dans les navigateurs web et exécutent automatiquement le code malveillant, pour déployer jusqu’à sept charges virales différentes.
Si on regarder le document d’HP :
When the malicious SVG image is opened in a web browser, the embedded script runs, giving attackers a way to decode and download a malicious file that may otherwise have been detected by an email gateway scanner. In this case, an HTML file is downloaded and decoded. This file contains a meta-tag that opens a remote WebDAV network share in a File Explorer window (T1021)." To make the network share look like a local folder the attackers set the window title to « Downloads ».
This folder contains one file called
YQBVSA80293GSBAV83290_pdf.lnk. To trick the user into thinking this file is a PDF document, this file was named with a double file extension (T1036.007) and its icon was set to a PDF logo. 2 Double clicking the link file causes a VBScript (T1059.005) and then a batch script to run.13
Il faut donc bien une action de l’utilisateur ici ouvrir un faux document pdf qui va executer l’attaque. @Feunoir avait donc un bon blair quand il suspectait un défaut d’ICC.
Et pour Python, il s’agit d’une variation de l’attaque précédente. Avec la diffusion des interpréteur python (merci l’IA) sur les machines, executer le code est devenu possible sur un plus grand nombre de machine. Une parade possible pourrait être de ne pas avoir d’interpréteur directement sur la machine. Mais là encore il faut une action de l’utilisateur d’abord.
J’espère que sa répond à ta question @Essylt . Et si Alexandre voulait bien sourcer les infos très utiles qu’il donne on y gagnerait tous. Make Clubic Great Again
PS: je remets le lien vers le document ou tu trouves toutes ces infos HP Wolf Security Threat Insights Report: March 2025 | HP Wolf Security
4 « J'aime »
Merci pour ces explications, c’est beaucoup plus clair en effet, et moins inquiétant. Merci aussi pour la source !
2 « J'aime »
Et que Google Mail cache les adresses courriel…
Merci !
1 « J'aime »