SentinelLabs lance l'alerte sur ClickFix, une nouvelle technique qui transforme les vérifications CAPTCHA de notre quotidien en redoutable porte d'entrée pour les cybercriminels.

Les CAPTCHA sont utilisés par les pirates pour faire installer des malwares © SentinelOne
Les CAPTCHA sont utilisés par les pirates pour faire installer des malwares © SentinelOne

Vous pensez être en sécurité en résolvant consciencieusement ces petits défis visuels qui parsèment le web, que l'on appelle les CAPTCHA ? Détrompez-vous. Les hackers ont trouvé le moyen de détourner votre vigilance en créant de faux CAPTCHA particulièrement convaincants. Cette nouvelle menace, baptisée ClickFix, exploite depuis plusieurs mois et sans relâche notre fatigue face aux vérifications répétitives pour nous faire installer nous-mêmes des logiciels malveillants.

De faux CAPTCHA copient votre presse-papiers pour vous infecter

L'ingéniosité de la technique dite ClickFix réside hélas dans sa simplicité diabolique. Contrairement aux attaques sophistiquées qui privilégient la discrétion, cette technique mise sur l'implication active de l'utilisateur. Les cybercriminels injectent des scripts malveillants dans des CAPTCHA HTML ou les diffusent à l'aide de pièces jointes, en créant des pages de vérification qui imitent parfaitement les interfaces légitimes.

Le processus d'infection suit un schéma bien rodé. Une fois le faux petit défi affiché, un script invisible écrit automatiquement une commande PowerShell dans le presse-papiers. L'utilisateur reçoit alors des instructions précises, comme appuyer sur Windows + R pour ouvrir la boîte « Exécuter », puis Ctrl + V pour coller le contenu malveillant, et enfin Entrée pour lancer l'infection.

Le défi CAPTCHA malveillant menant à l'exécution de la commande © SentinelOne
Le défi CAPTCHA malveillant menant à l'exécution de la commande © SentinelOne

Cette technique détournée se propage de plus en plus depuis des sites web légitimes compromis, des e-mails frauduleux, des copies parfaites de sites existants et des messages sur les réseaux sociaux. Les chercheurs de SentinelLabs, la division de recherche de SentinelOne, ont d'ailleurs observé une forte augmentation de ces campagnes au cours des 8 à 12 derniers mois, preuve de leur redoutable efficacité. Des hackers d'État ont même éprouvé la technique ces dernières semaines.

Les cybercriminels détournent PowerShell pour infecter vos appareils

Une fois le piège refermé, les conséquences sont loin d'être anecdotiques. Les malwares les plus fréquemment déployés incluent LummaStealer pour dérober vos informations sensibles, même si ce dernier vient de subir un sérieux coup d'arrêt ; mais aussi NetSupport RAT pour prendre le contrôle à distance de votre ordinateur, ou encore SectopRAT pour espionner discrètement vos activités en ligne.

L'attaque tire sa force de l'utilisation d'outils Windows parfaitement légitimes, surnommés LOLBINS (Living Off The Land Binaries). PowerShell, mshta.exe ou certutil.exe deviennent les complices involontaires des cybercriminels, permettant de contourner les défenses traditionnelles avec une facilité déconcertante, grâce à leur statut « de confiance ».

Le défi CAPTCHA malveillant et collage PowerShell © SentinelOne

Pour se protéger, la vigilance reste le maître-mot. Retenez donc cette règle absolue : aucun site web légitime ne vous demandera de coller du code dans la boîte « Exécuter » de Windows. Les entreprises peuvent renforcer leur sécurité en restreignant l'accès à PowerShell en mettant en place des stratégies de groupe et en déployant des solutions EDR modernes capables de détecter ces comportements suspects.