Les chercheurs de Netskope Threat Labs ont détecté une campagne malveillante ciblant actuellement les utilisateurs. Cette attaque ingénieuse repose sur un faux CAPTCHA qui incite les victimes à exécuter une série d’actions manuelles, conduisant ainsi à l’installation du malware Lumma à l’insu des systèmes de détection.
Plutôt qu’un simple test de vérification, le faux CAPTCHA affiche des instructions spécifiques suivante :
Ouvrir la fenêtre d’exécution Windows en appuyant sur Windows + R.
Coller le contenu du presse-papiers avec CTRL + V.
Exécuter la commande en appuyant sur Entrée.
Ce processus entraîne l’exécution d’une commande infectant la machine de la victime. L’attaque est conçue pour fonctionner sur les environnements Windows, rendant cette séquence d’actions indispensable à la réussite de l’infection.
Le code du site malveillant contient un extrait de JavaScript chargé de copier automatiquement une commande dans le presse-papiers. Cette commande exploite l’outil natif mshta.exe, un LOLBIN (Living Off the Land Binary), pour télécharger et exécuter un fichier HTA depuis un serveur distant. Les attaquants utilisent fréquemment cette technique afin de contourner les solutions de sécurité traditionnelles en détournant des binaires de confiance.
En forçant la victime à exécuter manuellement la commande, les cybercriminels évitent les mesures de protection intégrées aux navigateurs web. Toutes les étapes critiques de l’attaque se déroulent en dehors de cet environnement, réduisant ainsi les chances de détection.
