Les CISO doivent avertir les employés dans la formation régulière de sensibilisation à refuser de copier et d’exécuter des scripts de connexion dits de vérification.
Plusieurs sociétés de cybersécurité ont publié des alertes sur les acteurs de la menace trompant les employés des clients dans le téléchargement de logiciels malveillants via de fausses pages de vérification de connexion CAPTCHA.
Les captchas sont les tests ennuyeux que les sites Web ajoutent aux routines de connexion pour s’assurer que les utilisateurs sont de vraies personnes et non des robots automatisés. Faire un type d’utilisateur dans un nombre aléatoire illustré dans une fenêtre contextuelle, ou cliquez sur une série de boîtes qui montrent des images spécifiées est une activité qu’un bot ne peut pas effectuer.
Mais alors que les défenseurs ont été avertis, les acteurs de la menace continuent d’utiliser de faux captchas pour répandre les logiciels malveillants, apparemment parce que c’est toujours une tactique réussie.
« Je m’attends à ce que nous allons continuer à voir cela tout au long de l’année », a déclaré Ray Canzanais, directeur de NetSkope Threat Labs, dans une interview jeudi. L’objectif, a déclaré que son entreprise a déclaré dans un avertissement publié le mois dernier, est de diffuser des informations sur le voleur de Lumma volant des logiciels malveillants.
« Nous avons vu plus de ces faux captchas jamais une seule journée », a-t-il déclaré. «Il n’y a pas un jour de semaine qui se passe jusqu’à présent cette année où nous n’avons pas vu quelqu’un qui se retrouve sur l’une de ces fausses pages. Nous parlons de milliers de personnes au mois de janvier. Je pense que nous allons également dépasser des milliers de personnes en février. »
Quant aux raisons pour lesquelles il est toujours utilisé après que les CISO ont été alertées, Canzanais a noté que les acteurs de la menace ne devaient pas réussir à chaque fois avec une tactique – juste assez souvent pour en valoir la peine.
Alex Caparo, analyste du Cyber Threat Intelligence chez Reliaquest, a déclaré que son entreprise avait averti en décembre en décembre en raison du volume d’incidents observés par les clients. « Nous avons commencé à les voir début septembre 2024. Entre octobre et début décembre, nous avons vu presque une augmentation de ces attaques dans notre environnement – et un doublement de ce nombre depuis lors », a-t-il déclaré jeudi.
En fait, a-t-il dit, l’un des clients de son entreprise a fait face à une tentative d’utilisation de la fausse tactique Captcha plus tôt cette semaine.
Cela n’aide pas, a-t-il ajouté, que les chercheurs en sécurité – certains légitimes, certains non – ont rapidement publié des modèles sur des sites de développeurs comme Github qui menacent les acteurs avec impatience.
Comment fonctionne l’arnaque
En règle générale, les récentes escroqueries CAPTCHA tentent de inciter un employé à copier et à coller un script malveillant dans leurs PC Windows.
Il commence souvent par un employé recevant un e-mail ou un SMS à partir de ce qui ressemble à une source fiable lui demandant d’aller sur un site Web lié aux activités de leur entreprise. Par exemple, le message à un développeur peut dire: «Nous avons détecté une vulnérabilité de sécurité dans votre référentiel» et demande à la cible de cliquer sur un lien GitHub supposé.
Cependant, une personne peut également tomber sur un site Web infecté après avoir effectué une recherche sur Internet pour une mise à jour d’application ou un manuel d’instructions.
Ce qui se passe ensuite, le site Web lance une boîte en disant quelque chose comme «Vérifiez que vous êtes humain». Mais au lieu de demander à la cible de cliquer sur une série de photos ou de taper un nombre, la cible est invitée à copier un script (malveillant) ou, dans une version plus récente de l’arnaque, appuyez sur le bouton Windows de leurs claviers plus les claviers plus Lettre R. qui déclenche la capacité d’exécution des fenêtres. La cible doit ensuite appuyer sur Ctrl + V, qui colle le script dans le dialogue d’exécution et appuyez sur Entrée, en l’exécutant.
Une variation montre une fenêtre qui apparaît en disant «la vérification a échoué». L’utilisateur est informé que, pour résoudre le problème, il doit copier et exécuter un script ou installer un soi-disant certificat racine.
Parfois, la page de vérification est étiquetée «Cloudflare», dans l’espoir de convaincre la cible de la légitimité de ce qu’on leur demande de faire en utilisant une marque de confiance.
Quelle que soit la ruse, le script lui-même est une commande PowerShell malveillante pour contacter un serveur de commande et de contrôle, qui envoie finalement le voleur de Lumma ou d’autres logiciels malveillants à l’ordinateur de l’utilisateur.
En bref, l’objectif est d’amener l’employé à télécharger les logiciels malveillants, plutôt qu’à l’attaquant de le mettre en place.
«Nous avons vu un développement sérieux (de la tactique) depuis septembre», a déclaré Michal Salat, responsable de la renseignement des menaces chez Gen Digital, propriétaire des marques Norton, Avast, AVG et d’autres marques de cybersécurité. «À l’origine, il a commencé avec des scripts simples, (et) a continué avec de nombreuses tactiques différentes pour le rendre plus légitime. Parce que les personnes infectaient assez de succès, plus de groupes d’attaque ont commencé à utiliser ces techniques. Nous avons non seulement vu plus de sophistication, mais nous avons également vu la propagation à d’autres souches de logiciels malveillants ou chaînes de distribution. »
Gen Digital a blogué sur cette tactique en septembre dernier.
La dernière astuce consiste à changer le script pour être collé à partir du code informatique – qui pourrait sembler suspect – en une phrase de vérification avec un emoji souriant ou une coche, pour duper l’utilisateur en pensant qu’il fait la bonne chose.
Conseils pour les cisos
Canzanais et Caparo offrent les conseils suivants aux CISO pour atténuer la menace:
- Inclure les avertissements de cette tactique dans la formation régulière de sensibilisation à la sécurité des employés. À certains égards, le conseil au personnel est simple: refusez toujours les demandes de coller des commandes dans votre ordinateur. Et rappelez aux employés de dire à leurs familles de rechercher ce type d’arnaque. Les consommateurs le rencontreront lors de la recherche d’un logiciel commercial fissuré / piraté qu’ils souhaitent obtenir gratuitement, ou en recherchant des tutoriels YouTube.
- Surveillez l’utilisation de PowerShell. Dans la plupart des organisations, seul un petit nombre d’employés devraient être autorisés à accéder à PowerShell.
- Les administrateurs de Windows devraient restreindre l’utilisation de la commande Windows Exécuter uniquement ceux qui en ont besoin, explique Caparo. Configurez une stratégie de groupe sous les modèles de configuration / administrative utilisateur / menu de démarrage et barre de tâches, et trouvez l’option qui indique «Supprimer le menu Exécuter du menu Démarrer.
« Si vous appliquez cette politique sur les machines non additionnelles et non de développement, cela devrait empêcher les utilisateurs réguliers de pouvoir exécuter des logiciels malveillants en utilisant cette technique spécifique », a-t-il déclaré, - Désactivez la capacité des navigateurs sur les PC des employés à enregistrer les mots de passe. Reliaquest note que cela aide à protéger contre les infostelleurs qui avalent des références stockées.
- Activer l’authentification à deux facteurs résistants au phishing dans le cas où les informations d’identification sont volées.
- Utilisez une solution de détection et de réponse (EDR) (EDR) pour détecter les logiciels malveillants et bloquer les scripts malveillants.
