Windows, Il faut être prudent face aux fausse vérifications CAPTCHA

Une nouvelle vague d’attaques remet au goût du jour la technique de la fausse page CAPTCHA. Le piège ne cherche pas à vous faire télécharger un fichier “suspect”. La manœuvre est plus subtile puisqu’elle consiste à vous faire exécuter une commande PowerShell, en vous présentant cela comme une étape normale de vérification.

Malheureusement l’objectif est tout autre avec à la clé l’installation de StealC, un infostealer capable de siphonner mots de passe et cookies de navigateur, comptes Steam, données de portefeuilles crypto, identifiants Outlook, informations système et même des captures d’écran.

Comment fonctionne l’attaque “Fake CAPTCHA” ?

Le scénario part d’un point d’entrée classique. L’utilisateur atterrit sur un site compromis (ou une page injectée via du code malveillant), puis est redirigé vers une fausse étape de vérification. Elle imite un contrôle Cloudflare. La page n’affiche pas un vrai défi (cases à cocher, images), mais une “procédure” en trois gestes, formulée comme si Windows demandait une action standard. Il faut faire Windows + R, puis Ctrl + V, puis Entrée.

Ce tour de passe-passe s’appuie sur le contenu du presse-papiers. La page précharge une commande malveillante que l’utilisateur colle dans la boîte “Exécuter”. Comme l’action est “manuelle” et passe par un outil natif de Windows, l’attaque se protège des risques d’alertes. Cette approche astucieuse vaut à la méthode le nom ClickFix

StealC : ce que vole le malware une fois installé

Dans cette campagne, le payload mis en avant est StealC, une famille d’infostealer connue des équipes de sécurité. Sa pertinence tient à sa capacité à aspirer rapidement des données monétisables. Cela va d’identifiants enregistrés dans les navigateurs, aux sessions actives en passant par un accès à des services en ligne, des informations machine et bien plus. Les chercheurs indiquent aussi des communications vers un serveur de commande et contrôle via du trafic HTTP chiffré.

Ce qui rend tout ceci très dangereux, ce qu’il ne s’agit pas d’un bug ou d’une faille Windows susceptible d’être corrigé. Tout repose sur une exploitation du comportement de l’utilisateur. Le CAPTCHA est devenu une interaction web classique tandis que l’imitation Cloudflare inspire confiance. Microsoft avait déjà documenté le principe de ClickFix comme une technique d’ingénierie sociale qui cherche à contourner les protections automatisées en ajoutant une étape d’exécution volontaire par l’utilisateur.

Comment se protéger ?

La règle à marteler est très claire. Il n’existe pas de CAPTCHA légitime demandant d’ouvrir Exécuter (Win+R), de coller une commande, ou de lancer PowerShell. Si une page web vous guide vers ce type de manipulation, fermez l’onglet immédiatement.

En entreprise, il est conseillé de réduire la surface d’exécution de scripts (politiques PowerShell), d’appliquer du contrôle applicatif et de surveiller l’activité réseau sortante anormale, car ces stealer vivent de l’exfiltration.