12.11.2024 - La semaine dernière, l’OFCS a reçu une avalanche de signalements concernant des pages web compromises, destinées à faire croire aux internautes qu’il fallait mettre à jour le navigateur ou résoudre un CAPTCHA. Le but est d’infecter les appareils des victimes par des maliciels.
Semaine 45 : Comment les pirates tentent de répandre des maliciels au moyen de CAPTCHA frauduleux et de prétendues mises à jour
La procédure actuelle consiste à pirater des serveurs web et à manipuler les sites web au préalable, de manière à inciter une victime à installer un maliciel. Le plus souvent, les pirates accèdent aux serveurs à l’aide de données d’accès volées. Il leur suffit ensuite d’introduire des blocs JavaScript malveillants, de placer des redirections ou d’installer des plugins frauduleux dans le CMS. Les deux exemples ci-dessous montrent les méthodes employées.
Fausses mises à jour du navigateur
Aujourd’hui, personne n’ignore l’importance des mises à jour. Les pirates en profitent pour introduire subrepticement des maliciels. La tentative d’infection commence dès que les internautes ouvrent le site web compromis. Lors du chargement, le code JavaScript nuisible ou le plugin malveillant est exécuté et la victime est dirigée vers une page de mise à jour frauduleuse. Elle est ensuite invitée à installer le maliciel, camouflé par exemple en mise à jour du navigateur Google Chrome, sur son ordinateur. Il s’agit généralement d’un infostealer, tel que « Vidar Stealer », qui collecte des données sur le système d’exploitation, des informations de connexion, des données relatives aux cartes de crédit ou l’historique de navigation. En plus de voler des données sensibles, le maliciel peut servir de téléchargeur pour d’autres logiciels malveillants.
Faux CAPTCHA et script Powershell
Les CAPTCHA se sont généralisés. Ces formulaires internet demandent, par exemple, de résoudre des calculs ou de cocher toutes les cases d’une image qui représentent des animaux, des voitures, des ponts, etc. afin de confirmer que l’on est bien un être humain et non un robot. Des pirates peuvent cependant utiliser ces tests de manière abusive. Leur méthode consiste à attirer les internautes sur une fausse page de CAPTCHA, souvent par l’intermédiaire de fournisseurs légitimes compromis ou de services CAPTCHA accessibles au public. En cliquant sur le bouton « Je ne suis pas un robot », la victime copie un script PowerShell malveillant dans son presse-papiers. Un script PowerShell est un fichier texte contenant les commandes que l’ordinateur doit exécuter. Un message incite ensuite à coller et à exécuter ce script en appuyant sur Windows + R, puis sur Ctrl + V. L’ordinateur se connecte alors à un serveur des pirates et un maliciel est téléchargé et installé. L’OFCS a été informé que l’infostealer « Lumma Stealer » était diffusé de cette manière. « Lumma Stealer » cible les navigateurs web, les portefeuilles de cryptomonnaies, les extensions pour la double authentification et les services de messagerie instantanée (p. ex. Telegram) afin d’extraire des données précieuses. Comme « Vidar Stealer », ce maliciel est capable d’introduire des logiciels malveillants supplémentaires et d’exécuter d’autres commandes.
Recommandations aux internautes
- Faites preuve de prudence lorsque vous installez des logiciels. Ne téléchargez des logiciels qu’à partir de sources sûres et fiables;
- Redoublez de vigilance lorsqu’une fenêtre pop-up s’affiche et vous invite à mettre à jour votre navigateur ou un logiciel;
- Faites attention aux CAPTCHA inhabituels;
- Fermez toute fenêtre contenant un pop-up ou un CAPTCHA potentiellement malveillant;
- Suivez les directives officielles de mise à jour des fabricants de navigateurs;
- Si vous soupçonnez que votre ordinateur est infecté par un maliciel, contactez un/e spécialiste ou un magasin d’informatique;
- De nombreux maliciels apportent au système des modifications profondes difficiles à annuler. En cas d’infection confirmée, il convient donc de réinstaller l’ensemble du système. Des sauvegardes régulières faciliteront la restauration de vos données;
- Après la réinstallation, changez vos mots de passe pour tous les accès en ligne (e-mail, réseaux sociaux, etc.).
Recommandations aux exploitants de sites web
- Vérifiez que votre site ne présente pas de failles de sécurité et assurez-vous que personne n’y a plus accès sans autorisation;
- Activez la double authentification pour l’accès à votre site;
- Nettoyez votre site et supprimez tout contenu indésirable;
- Actualisez et contrôlez régulièrement votre site et les plugins installés;
- Installez sans tarder les mises à jour disponibles pour les systèmes CMS et toutes les autres applications logicielles afin de combler au plus vite les failles de sécurité potentielles.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 12.11.2024