Une nouvelle campagne de phishing utilise de fausses pages de vérification CAPTCHA pour inciter les utilisateurs de Windows à exécuter des commandes PowerShell malveillantes et à installer le logiciel malveillant Lumma Stealer pour voler des informations sensibles. Pour se protéger de cette nouvelle campagne, méfiez-vous des demandes de vérification inhabituelles, comme des demandes d'exécuter des commandes via la boîte de dialogue "Exécuter".Un captcha est un type de test défi-réponse utilisé en informatique pour déterminer si l'utilisateur est humain afin de décourager les attaques de bots et le spam. Un type de CAPTCHA historiquement courant (affiché comme reCAPTCHA v1) nécessite la saisie d'une séquence de lettres ou de chiffres dans une image déformée. Deux services CAPTCHA largement utilisés sont reCAPTCHA de Google et le service indépendant hCaptcha. Il faut environ 10 secondes à une personne moyenne pour résoudre un CAPTCHA typique.
Les chercheurs en cybersécurité de CloudSek ont découvert une nouvelle campagne de phishing qui incite les utilisateurs à exécuter des commandes malveillantes par le biais de fausses pages de vérification humaine. Cette campagne, qui cible principalement les utilisateurs de Windows, vise à installer le logiciel malveillant Lumma Stealer, ce qui entraîne le vol d'informations sensibles.
Comment l'attaque fonctionne-t-elle ?
Les acteurs de la menace créent des sites d'hameçonnage hébergés sur diverses plateformes, y compris les buckets Amazon S3 et les réseaux de diffusion de contenu (CDN). Ces sites imitent des pages de vérification légitimes, telles que de fausses pages CAPTCHA de Google. Lorsque les utilisateurs cliquent sur le bouton "Verify", ils reçoivent des instructions inhabituelles :
À l'insu de l'utilisateur, ces actions exécutent une fonction JavaScript cachée qui copie une commande PowerShell codée en base64 dans le presse-papiers. Lorsque l'utilisateur colle et exécute la commande, il télécharge le logiciel malveillant Lumma Stealer à partir d'un serveur distant.
Le rapport de CloudSek a révélé que le logiciel malveillant téléchargé re-télécharge souvent des composants malveillants supplémentaires, ce qui rend la détection et la suppression plus difficiles. Bien qu'elle soit actuellement utilisée pour diffuser Lumma Stealer, cette technique pourrait être facilement adaptée pour diffuser d'autres types de logiciels malveillants.
Pour information, Lumma Stealer est conçu pour voler des données sensibles sur l'appareil infecté. Bien que les données spécifiques ciblées puissent varier, il s'agit souvent d'identifiants de connexion, d'informations financières et de fichiers personnels. Cette dernière campagne a eu lieu quelques jours seulement après que le logiciel malveillant a été surpris en train de se déguiser en outil de piratage OnlyFans, infectant les appareils d'autres pirates.
En janvier 2024, on a découvert que Lumma se propageait par le biais de logiciels piratés distribués via des chaînes YouTube compromises. Auparavant, en novembre 2023, des chercheurs avaient identifié une nouvelle version de LummaC2, appelée LummaC2 v4.0, qui volait les données des utilisateurs en utilisant des techniques trigonométriques pour détecter les utilisateurs humains.
Que faire ?
Maintenant que la nouvelle vague d'infection par le voleur Lumma a été signalée, les entreprises et les utilisateurs peu méfiants doivent rester vigilants et éviter de tomber dans le piège de la dernière escroquerie de fausse vérification. Voici quelques règles de bon sens et des conseils simples mais essentiels pour se protéger contre Lumma et d'autres voleurs similaires :
- Informez-vous et informez les autres : Partagez ces informations avec vos amis, votre famille et vos collègues afin de les sensibiliser à cette nouvelle menace.
- Méfiez-vous des demandes de vérification inhabituelles : Les sites web légitimes demandent rarement aux utilisateurs d'exécuter des commandes via la boîte de dialogue "Exécuter". Méfiez-vous de tout site qui fait de telles demandes.
- Ne copiez pas et ne collez pas de commandes inconnues : Évitez de copier et de coller tout ce qui provient de sources non fiables, en particulier les commandes destinées à être exécutées dans un terminal ou une invite de commande.
- Mettez vos logiciels à jour : Assurez-vous que votre système d'exploitation et votre logiciel antivirus sont à jour et qu'ils corrigent les vulnérabilités connues.
Source : Rapport de Cloudsek
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Les CAPTCHA sont-ils plus qu'ennuyants ? Une analyse évoque les conséquences négatives de leur implémentation notamment en termes d'expérience utilisateur Cybercriminalité : les sites de phishing imitant le service de la poste US rivalisent avec le site officiel en termes de trafic. Les cybercriminels générant même plus de trafic pendant les fêtes Des pirates ont trouvé un nouveau moyen d'introduire une porte dérobée sur les systèmes Windows en exploitant une vulnérabilité PHP critique qui permet l'exécution de code arbitraire à distance Les fichiers PDF chiffrés constituent la dernière astuce des pirates informatiques pour vous transmettre des logiciels malveillants, qui exfiltrent ensuite vos informations personnelles