Les ordinateurs sous Windows font face à une nouvelle menace de cyberattaques par le biais de publicités en ligne trompeuses et de faux tests CAPTCHA. Cette campagne, découverte par les chercheurs en cybersécurité de Kaspersky, utilise des techniques sophistiquées pour installer des malwares, tels que Lumma, un logiciel conçu pour le vol de données, sur les appareils des victimes. En contournant les mesures de sécurité classiques, les cybercriminels parviennent à installer ces logiciels avec l’aide involontaire des utilisateurs.
Publicités intrusives et redirections vers des sites malveillants
Le point de départ de cette attaque repose sur une publicité en ligne qui envahit tout l’écran et empêche la navigation sur le site consulté. Ces publicités apparaissent de façon inattendue, en particulier sur des sites suspects, une stratégie bien connue dans le monde des cyberattaques.
Selon Vasily Kolesnikov, expert en sécurité chez Kaspersky, « les attaquants achètent des espaces publicitaires qui redirigent les utilisateurs vers des ressources malveillantes. Cette campagne se démarque par l’élargissement de son réseau de diffusion et un scénario d’attaque nouveau, augmentant ainsi le nombre de victimes ».
Un faux CAPTCHA pour piéger les utilisateurs
Une fois redirigé, l’utilisateur est invité à passer un test CAPTCHA, censé différencier un humain d’un bot. Cependant, ce CAPTCHA est un leurre. Lorsqu’un utilisateur clique sur le bouton « Je ne suis pas un robot », un code malveillant est automatiquement copié dans le presse-papiers de l’ordinateur. La victime est ensuite invitée à coller ce code dans le terminal de Windows, déclenchant ainsi l’installation du malware sur l’appareil.
Kaspersky qualifie cette méthode « d’inhabituelle », car elle s’appuie sur la confiance des utilisateurs envers les CAPTCHA pour les manipuler. Ce stratagème subtil démontre une nouvelle sophistication dans les techniques de social engineering, où l’utilisateur est amené à agir en croyant renforcer sa sécurité.
Lumma, un malware conçu pour le vol de données sensibles
Une fois installé, le malware, appelé Lumma, s’attaque aux données sensibles de l’utilisateur. Lumma appartient à la catégorie des infostealers, des malwares qui se spécialisent dans l’exfiltration de données. Parmi les informations visées figurent les cookies de navigation, les identifiants de gestionnaires de mots de passe et les données de portefeuilles de cryptomonnaies. Ces informations permettent aux cybercriminels de mener des attaques diverses, allant du vol de fonds aux intrusions dans d’autres comptes de l’utilisateur.
Les conséquences pour les victimes peuvent être graves, car les hackers peuvent revendre ces informations sur le dark web ou les utiliser directement pour perpétrer des fraudes financières.
Les gamers en ligne particulièrement ciblés
Les chercheurs de Kaspersky ont constaté que cette campagne malveillante cible en particulier les amateurs de jeux en ligne. Les faux CAPTCHA et les publicités infectées sont majoritairement diffusés sur des sites de jeux, où les gamers sont plus susceptibles de cliquer rapidement sur les liens et les fenêtres surgissantes.
Une étude récente de YouGov pour Kaspersky révèle que les gamers sont une cible privilégiée des cybercriminels. Le nombre de joueurs attaqués par des cybermenaces via des jeux vidéo a augmenté de 30 % en un an. La rapidité de la montée en popularité de cette cible est alarmante, notamment parce que les joueurs peuvent posséder des informations bancaires ou des actifs en cryptomonnaies liés à des comptes de jeux, ce qui attire particulièrement les cybercriminels.
De faux messages d’erreur Chrome pour tromper les utilisateurs
Outre les tests CAPTCHA truqués, certains utilisateurs se retrouvent face à un faux message d’erreur de Google Chrome. Ce message, imitant à la perfection les alertes de Chrome, encourage l’utilisateur à « copier le correctif » dans la fenêtre du terminal, une manipulation qui aboutit à l’installation du malware et au vol des données personnelles. Cette méthode d’usurpation de l’identité d’un navigateur populaire est une autre technique de social engineering visant à gagner la confiance de l’utilisateur.
Une campagne d’envergure mondiale
D’après l’enquête de Kaspersky, les cybercriminels ont déployé plus de 140 000 publicités malveillantes entre septembre et octobre 2024. Plus de 20 000 internautes ont été confrontés à des pages contenant des scripts capables d’installer des malwares durant cette période. Les internautes les plus touchés par cette campagne sont en grande majorité situés au Brésil, en Italie, en Russie et en Espagne, révélant l’ampleur internationale de l’attaque.
Les cybercriminels se servent de plusieurs canaux pour diffuser leurs malwares, incluant des services de partage de fichiers, des applications web, des portails de paris en ligne, des sites pour adultes, et même des plateformes communautaires pour animateurs et créateurs de contenu. Outre Lumma, ils diffusent également Amadey, un cheval de Troie capable de voler des informations d’identification, de capturer des écrans, et d’installer un outil d’accès à distance qui permet aux hackers de prendre le contrôle de l’appareil à distance.
Comment se protéger ?
Face à cette campagne de grande envergure, il est essentiel pour les utilisateurs Windows d’adopter certaines précautions. D’abord, il est recommandé de maintenir les logiciels de sécurité à jour et d’éviter de cliquer sur des liens provenant de sources inconnues ou de publicités invasives. En cas de redirection vers un CAPTCHA ou un message d’erreur inattendu, il est conseillé de fermer la page immédiatement. Enfin, l’utilisation d’un gestionnaire de mots de passe et d’une double authentification pour les comptes sensibles peut limiter les dégâts en cas de vol de données.
En restant vigilants et en adoptant des mesures de cybersécurité rigoureuses, les internautes peuvent mieux se protéger contre ce type de campagne malveillante sophistiquée.
