Vidéos associées :
Une outil de sécurité en ligne largement reconnu -le CAPTCHA- est exploité par des cybercriminels pour voler des mots de passe, des informations bancaires et des données personnelles d'utilisateurs sans méfiance, selon une alerte du Centre de Ressources contre le Vol d'Identité (ITRC, en anglais), dans un reportage de Telemundo.
Les CAPTCHA légitimes, comme le célèbre encadré "Je ne suis pas un robot" ou les puzzles de sélection d'images, ont été conçus pour distinguer les utilisateurs humains des programmes automatisés. Cependant, les criminels créent désormais des pages frauduleuses qui imitent parfaitement ces vérifications pour tromper leurs victimes.
Le signal d'alerte le plus important est un message d'erreur qui demande à l'utilisateur d'appuyer sur une séquence de touches pour continuer. Les experts avertissent que cela doit provoquer une alarme immédiate : si cela se produit, il faut s'arrêter et ne suivre aucune instruction de la page.
La technique la plus répandue est connue sous le nom de "ClickFix" : en cliquant sur le faux CAPTCHA, un script JavaScript copie automatiquement une commande malveillante dans le presse-papiers de l'utilisateur. Ensuite, la page indique d'ouvrir la boîte de dialogue "Exécuter" de Windows avec les touches Win+R, de coller le contenu avec Ctrl+V et de presser Enter, ce qui exécute le code sans que la victime ne se doute de rien.
Cette méthode installe des logiciels malveillants, qui ne sont rien d'autre que des programmes conçus pour infiltrer, endommager, voler des informations ou perturber les systèmes informatiques.
Selon l'ITRC, avec un faux CAPTCHA, le programme malveillant qui s'introduit peut rechercher des mots de passe enregistrés dans les navigateurs, collecter des cookies de session actifs, capturer des écrans et rassembler des détails sur l'appareil infecté, en plus d'extraire des données de cartes de crédit et de portefeuilles de cryptomonnaies.
Jusqu'à présent, le virus le plus rapporté est "StealC", qui opère comme un service criminel disponible pour tout délinquant qui le "loue". Son modèle d'infection est rapide : il extrait les données en quelques secondes et les envoie cryptées à des serveurs contrôlés par les attaquants. Les données volées sont ensuite vendues sur des marchés de l'Internet sombre ou sur des canaux Telegram.
Ces campagnes sont actives depuis 2024, se sont intensifiées en 2025 et continuent en 2026, affectant les utilisateurs de Windows, macOS et Android.
En Amérique Latine, les détections ont augmenté de 40 % selon l'intelligence des menaces de Kaspersky, avec des campagnes en espagnol propagées via WhatsApp, Telegram et des annonces malveillantes.
Les faux CAPTCHA parviennent par le biais de courriels de phishing, de sites web compromis, de publicités malveillantes, de sites de streaming piratés et de réseaux sociaux. Un vrai CAPTCHA ne demande jamais de télécharger des fichiers, d'exécuter des commandes ni d'entrer des données personnelles : c'est la différence fondamentale.
Si quelqu'un rencontre une page CAPTCHA suspecte, les experts recommandent de fermer l'onglet immédiatement et de naviguer directement vers le site souhaité en saisissant l'adresse dans le navigateur, plutôt que de cliquer sur des liens. Ils conseillent également d'utiliser des mots de passe et d'activer l'authentification multifactorielle chaque fois que possible.
Pour ceux qui pensent avoir déjà téléchargé un programme malveillant, les étapes sont claires : se déconnecter d'Internet en éteignant le Wi-Fi ou en débranchant le câble réseau, changer les mots de passe depuis un autre appareil, exécuter une analyse complète avec un antivirus de confiance et surveiller de près les comptes financiers.
Vérifier et bloquer régulièrement les rapports de crédit aide également à détecter à temps un éventuel vol d'identité et à limiter les dommages si les informations personnelles sont compromises.
Archivé dans :