JavaScript et l'obfuscation des CAPTCHA
10 mars 2025
Par Rikesh Vekaria
Ce que vous apprendrez dans cette notification
- Les auteurs d'attaques mettent en œuvre des mesures anti-analyse sophistiquées au sein des pages CAPTCHA afin d'échapper à la détection et d'empêcher toute enquête.
- Ces pages malveillantes détectent activement les outils de sécurité et, lorsqu'elles en identifient un, redirigent vers des destinations inoffensives, évitant ainsi d'être repérées par les systèmes automatisés.
- La vérification par CAPTCHA donne aux utilisateurs un faux sentiment de sécurité, tout en empêchant les équipes de sécurité d'examiner les contenus dissimulés destinés à récupérer des identifiants.
Techniques d'obfuscation
Rikesh Vekaria et les chercheurs en cybersécurité de Mimecast ont récemment constaté que les auteurs de menaces font évoluer leurs tactiques de Phishing en mettant en place des mesures anti-analyse au sein des pages CAPTCHA afin d'échapper à la détection et d'empêcher toute enquête menée par les professionnels de la sécurité. Ces conclusions s'appuient sur les travaux menés par les chercheurs en sécurité de Juniper Labs, qui ont identifié deux principales techniques de Phishing basées sur les CAPTCHA actuellement utilisées. La première consiste à pirater des domaines légitimes dotés de systèmes CAPTCHA réels, tandis que la seconde consiste à créer de fausses pages CAPTCHA qui imitent de manière convaincante les interfaces légitimes de Cloudflare Turnstile. Ces deux méthodes constituent un moyen efficace d'accéder aux pages destinées à la collecte d'identifiants.
Ce qui rend ces campagnes particulièrement préoccupantes, c'est le recours à des techniques d'évasion sophistiquées, spécialement conçues pour contrecarrer les analyses de sécurité. Les pirates ont intégré du code qui empêche activement tant l'intervention des outils de sécurité automatisés que les investigations manuelles menées par les professionnels de la sécurité.
Cette approche sophistiquée consiste à détecter les navigateurs sans interface graphique, les outils de web scraping et les plateformes d'analyse de sécurité. Lorsque ces outils sont détectés, la page redirige vers une page inoffensive, ce qui permet d'échapper efficacement à la surveillance des systèmes de sécurité automatisés. Dans les détections récentes analysées par notre équipe de recherche sur les menaces, le code mis en évidence indique une redirection vers une page blanche, ce qui pourrait induire en erreur une première analyse humaine.
L'un des aspects intéressants mis en évidence concerne l'empêchement des interactions via le clavier et la souris : certaines pages CAPTCHA malveillantes intègrent en effet du code JavaScript qui désactive la fonctionnalité du clic droit et bloque les raccourcis clavier couramment utilisés pour l'inspection (F12, Ctrl+Maj+I, Ctrl+U).
Du point de vue de l'utilisateur final, le déroulement de l'attaque semble légitime. Ils reçoivent un e-mail de Phishing contenant un lien vers ce qui semble être une page de vérification CAPTCHA classique, nécessitant simplement de cocher une case. Une fois cette vérification, qui semble banale, effectuée, ils sont redirigés vers une page destinée à récupérer leurs identifiants, qui imite généralement les écrans de connexion de Microsoft. Les identifiants sont ensuite capturés et transmis à l'attaquant.
Cette technique est particulièrement efficace, car elle intègre une étape de vérification humaine qui semble légitime et qui donne un faux sentiment de sécurité. La plupart des utilisateurs sont habitués aux tests CAPTCHA et ne les considèrent pas comme des menaces potentielles pour la sécurité. Par ailleurs, les mesures anti-analyse empêchent les équipes de sécurité d'examiner facilement le contenu de la page.
Cette évolution des tactiques de Phishing montre à quel point les auteurs de menaces ne cessent d'affiner leurs techniques pour échapper à la détection. La mise en œuvre de mesures anti-analyse ciblant spécifiquement les professionnels de la sécurité témoigne d'une compréhension approfondie des méthodologies défensives et d'une volonté délibérée de compliquer la gestion des incidents.
Objectifs:
Monde
Recommandations
En tant qu'analyste en sécurité, nous vous recommandons de suivre les étapes suivantes pour analyser toute page suspecte.
- Utilisez des services de sandboxing tels que Urlscan.io pour analyser le modèle objet de document (DOM) de la page
- Lorsque vous recherchez de fausses pages CAPTCHA, qui utilisent généralement du JavaScript, les éléments clés à prendre en compte sont les suivants :
- Un code définissant des raccourcis clavier pourrait indiquer des tentatives de manipulation des interactions de l'utilisateur.
- Analysez la manière dont la page redirige les utilisateurs. Des redirections complexes ou inutiles peuvent être le signe d'une tentative de dissimulation.
- Vérifier d'où proviennent les requêtes et comment elles sont redirigées
- Une obfuscation JavaScript poussée visant à dissimuler leurs véritables fonctionnalités
-
Comparez avec des pages CAPTCHA légitimes en examinant :
- Balises HTML clés : Identifiez les balises essentielles couramment utilisées dans les implémentations authentiques de CAPTCHA.
- Bibliothèques JavaScript : vérifiez la présence de bibliothèques ou de frameworks standard utilisés par les services CAPTCHA légitimes