Kaspersky a détecté une nouvelle vague d'offensives dans le cadre d’une campagne malveillante diffusée via des publicités en ligne, à destination des utilisateurs de PC Windows. Le procédé est simple : tandis qu’ils naviguent sur le web, les internautes pris pour cible cliquent à leur insu sur une publicité qui masque tout l'écran et les redirige vers une fausse page CAPTCHA, ou vers un faux message d'erreur Chrome les incitant à suivre les étapes de téléchargement d’un infostealer.
Entre septembre et octobre 2024, la télémétrie de Kaspersky a enregistré plus de 140 000 occurrences de ces publicités invasives, avec plus de 20 000 utilisateurs ayant été redirigés vers des pages hébergeant des scripts malveillants. Dans la plupart des cas, il s'agit d'internautes brésiliens, espagnols, italiens et russes. Afin de se protéger, les experts recommandent aux utilisateurs de faire preuve de prudence et d’éviter de répondre aux demandes suspectes.
Un CAPTCHA est un dispositif de sécurité utilisé sur les sites web et dans les applications pour vérifier si un utilisateur est humain ou s'il s'agit d'un programme automatisé ou d'un bot. Au cours de cette année, des rapports ont fait état de cas d’acteurs de la menace distribuant le stealer Lumma à l'aide de faux CAPTCHA, en ciblant principalement les joueurs. En se rendant sur des sites de jeux en ligne, ces derniers sont incités à cliquer sur une publicité recouvrant l’écran dans sa totalité. Ils sont redirigés vers une page CAPTCHA falsifiée contenant des instructions les incitant à télécharger le virus. Lorsqu’ils cliquent sur le bouton « Je ne suis pas un robot », un code de Windows PowerShell est copié dans le presse-papiers de leur ordinateur. Des messages d’instruction les invitent alors à coller le code dans la boîte du terminal et à appuyer sur Entrée, enclenchant le téléchargement et le lancement du virus Lumma.
Le malware recherche des fichiers liés aux crypto-monnaies, des cookies et des données de gestionnaires de mots de passe sur l'appareil de la victime. En visitant les pages web de diverses plateformes de commerce électronique, Lumma augmente leur nombre de vues, permettant aux auteurs de l'attaque de réaliser des gains financiers supplémentaires.
Face à ces nouvelles attaques, les chercheurs de Kaspersky ont identifié un autre scénario d'attaque dans lequel, au lieu d'un CAPTCHA, un message d'erreur s'affiche sur une page web, conçue pour ressembler à un message de service du navigateur Chrome. Les auteurs de l'attaque demandent à leur victime de « copier le correctif » dans la fenêtre du terminal (le correctif étant la même commande PowerShell que celle décrite ci-dessus).
Kaspersky a mis au jour une nouvelle vague d'attaques, ne se contentant pas de cibler des gamers, distribuées par l'intermédiaire de services de partage de fichiers, d'applications web, de portails de bookmakers, de pages de contenu pour adultes, de communautés d'animateurs, et bien d'autres canaux. Les attaquants utilisent également le cheval de Troie Amadey dans cette vague d'attaque. Comme Lumma, il vole les informations d'identification des navigateurs populaires et des portefeuilles de crypto-monnaies, mais il peut également prendre des captures d'écran, obtenir des informations d'identification pour les services d'accès à distance et télécharger un outil d'accès à distance sur l'appareil de la victime, ce qui permet aux pirates d'obtenir un accès complet.
« Les attaquants ont acheté des espaces publicitaires, et si un utilisateur voit cette publicité et clique dessus, il est redirigé vers des ressources malveillantes, une tactique couramment utilisée. Cette nouvelle vague implique un réseau de distribution considérablement élargi et l'introduction d'un nouveau scénario d'attaque qui touche davantage de victimes. Désormais, les internautes peuvent être détournés par une fausse question CAPTCHA ou un message d'erreur de la page web de Chrome, et devenir les victimes d'un stealer doté de nouvelles fonctionnalités. Les entreprises et les particuliers doivent faire preuve de prudence et d'esprit critique avant de suivre les messages suspects qu'ils voient en ligne », explique Vasily Kolesnikov, expert en sécurité chez Kaspersky.
Pour en savoir plus, consultez Securelist.