Une vague de faux CAPTCHA amène les utilisateurs à exécuter PowerShell sur Windows, déclenchant le voleur de crypto Lumma Stealer. Selon une analyse de DNSFilter, 23 interactions en 72 heures ont été enregistrées, avec 17 % des visiteurs suivant les instructions affichées à l'écran (DNSFilter). Résultat immédiat : portefeuilles crypto vidés et fonds blanchis en moins de 3 minutes.
Selon les données collectées par les équipes de réponse aux incidents qui ont analysé les pages bloquées entre le 14 et le 17 août 2025, la fenêtre opérationnelle pour prévenir le premier transfert de fonds est souvent inférieure à 180 secondes. Les analystes de l'industrie notent également que les campagnes avec des overlays persuasifs enregistrent des taux de conversion entre 12 % et 20 %, cohérents avec les 17 % détectés par DNSFilter.
Données clés : 17 % de "conversion" lors de l'exécution de la commande.
Tactique : superposition de vérification qui simule un contrôle anti-bot et guide l'exécution de PowerShell.
Impact : vol d'identifiants, de cookies, de 2FA et de crypto-monnaie de portefeuille avec une monétisation presque instantanée.
Un exemple de faux CAPTCHA qui demande une vérification "manuelle" : un panneau d'avertissement à ne pas négliger.
Comment fonctionne la tromperie : du faux "Je ne suis pas un robot" aux malwares en mémoire
Les faux CAPTCHAs imitent le classique "Je ne suis pas un robot", mais au lieu de valider l'accès, ils incitent l'utilisateur à appuyer sur Windows+R et à coller une commande. Cela lance une exécution PowerShell qui télécharge et charge en mémoire une DLL liée à Lumma Stealer, utilisant souvent une technique sans fichier pour échapper aux logiciels antivirus traditionnels.
Les logiciels malveillants peuvent désactiver ou contourner des contrôles d'exécution tels que AMSI (Antimalware Scan Interface) pour cacher les charges utiles chargées en mémoire. Un aspect intéressant est la vitesse de collecte : une fois actif, le logiciel malveillant extrait les mots de passe enregistrés, les cookies, les jetons de session, les codes 2FA et les données de portefeuille de crypto-monnaie.
Le cas observé par DNSFilter : superposition sur des sites légitimes
L'alerte a été déclenchée lorsqu'un fournisseur géré a détecté un superposé de vérification sur un site bancaire européen : il affichait une fausse erreur DNS et nécessitait une "vérification manuelle". L'utilisateur a ensuite été guidé pour exécuter PowerShell, initiant le téléchargement et l'exécution de la charge utile Lumma. En trois jours, 23 pages similaires ont été bloquées ; il convient de noter qu'environ 1 utilisateur sur 6 a suivi les étapes proposées.
Chronologie d'un vol en 3 minutes
Entrée : l'utilisateur visite un site légitime ou une page clonée ; un faux CAPTCHA avec une erreur DNS apparaît.
Ingénierie sociale : la page invite à "valider" l'accès avec Windows+R et une commande précompilée.
Exécution : PowerShell désactive des contrôles comme AMSI, charge une DLL de Lumma Stealer et reste en mémoire (fichierless).
Exfiltration : le logiciel malveillant collecte les identifiants de navigateur, les cookies, la 2FA, la seed et les données de portefeuille provenant des cryptomonnaies.
Monétisation : les clés sont utilisées pour transférer des fonds sur DEX et des mélangeurs ; le blanchiment se produit en quelques minutes.
Propagation, variantes et domaines associés
La campagne a été détectée à plusieurs reprises dans une plage étroite, les pages changeant de domaine et de graphiques pour échapper aux blocages. Toutes les variantes ne sont pas sans fichier : certaines proposent un téléchargement exécutable déguisé en "vérificateur". Dans ce contexte, parmi les domaines observés dans des campagnes similaires, on trouve human-verify-7u.pages.dev et recaptcha-manual.shop.
Pourquoi la récupération des cryptomonnaies est-elle si difficile
La vitesse est l'arme principale de l'attaque. Une fois volés, les fonds sont déplacés vers DEX et des outils d'automatisation qui fragmentent les transactions. Pour cette raison, les équipes d'analyse on-chain signalent que le blanchiment peut se produire en quelques minutes, rendant la récupération extrêmement complexe.
Indicateurs techniques (pour SOC/IT)
Domaines/URLs observés : human-verify-7u.pages.dev, recaptcha-manual.shop, variantes sur les sous-domaines « human-verify » et « recaptcha-manual ».
Tactiques, Techniques, Procédures (TTP) : ingénierie sociale via superposition ; exécution de PowerShell avec désactivation de l'AMSI ; chargement de DLL en mémoire (sans fichier) ; collecte d'identifiants depuis le navigateur et le portefeuille.
Signaux d'anomalie d'endpoint : processus powershell.exe lancé par explorer.exe/win+r ; activité réseau immédiate après l'exécution ; accès aux répertoires de profils de navigateur.
Modèle de page : erreur DNS factice + demande de "vérification manuelle" avec la combinaison Windows+R et "copier/coller".
Avis juridique : partagez les IOC de manière responsable ; évitez de diffuser des commandes exécutables ou des charges utiles.
Guide rapide : Défense immédiate
Ne collez pas les commandes suggérées par les pages web ou les fenêtres contextuelles.
Configurer des blocs DNS et un filtrage de contenu pour les domaines suspects et les catégories de malvertising.
Limitez l'exécution des scripts PowerShell pour les utilisateurs non administrateurs ; activez le mode de langage contraint lorsque cela est possible.
Activez et surveillez les solutions AMSI et EDR avec des règles sur les processus en mémoire.
Séparez l'utilisation des portefeuilles du navigateur principal ; préférez les portefeuilles matériels.
Désactivez la sauvegarde des mots de passe dans le navigateur ; utilisez un gestionnaire de mots de passe avec MFA.
Former les utilisateurs avec des exemples réels de phishing et de faux CAPTCHA sur des sites sensibles.
Mesures de contre pour les entreprises
Segmentation du réseau et blocs au niveau du proxy/DNS pour les domaines nouvellement enregistrés et les modèles « human-verify/recaptcha-manual ».
Politique de presse-papiers sur les appareils gérés ; alerte lorsqu'un site incite à copier/coller des commandes.
Chasse aux menaces sur les chaînes d'injection de processus et sur les exécutions anormales de powershell.exe.
Plan d'escalade immédiat : isolement de l'hôte, révocation de session, rotation des identifiants, invalidation du jeton et du cookie.
Limiter les dégâts après le vol
Isolez immédiatement l'appareil et révoquez les sessions actives sur les services critiques.
Régénérer la phrase de graine et déplacer les fonds vers des portefeuilles sécurisés et non compromis.
Activez MFA sur des applications indépendantes du navigateur ; évitez les mécanismes liés aux cookies ou aux sessions synchronisées.
FAQ
Comment reconnaître un CAPTCHA faux ?
Soyez prudent avec les pages qui demandent Windows+R, le copier/coller de commandes ou le téléchargement de "vérificateurs". En cas de doute, vérifiez l'URL et fermez la page.
S'agit-il toujours d'une attaque sans fichier ?
Non. Certaines variantes téléchargent un exécutable traditionnel ; d'autres fonctionnent entièrement en mémoire pour réduire les traces sur le disque.
Quelles données cherchent-ils à voler ?
Identifiants des navigateurs, cookies, 2FA, données et clés de portefeuille crypto.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
FAUX CAPTCHAs, crypto disparu en 3 minutes : le truc PowerShell de Lumma Stealer trompe 1 ...
Une vague de faux CAPTCHA amène les utilisateurs à exécuter PowerShell sur Windows, déclenchant le voleur de crypto Lumma Stealer. Selon une analyse de DNSFilter, 23 interactions en 72 heures ont été enregistrées, avec 17 % des visiteurs suivant les instructions affichées à l'écran (DNSFilter). Résultat immédiat : portefeuilles crypto vidés et fonds blanchis en moins de 3 minutes.
Selon les données collectées par les équipes de réponse aux incidents qui ont analysé les pages bloquées entre le 14 et le 17 août 2025, la fenêtre opérationnelle pour prévenir le premier transfert de fonds est souvent inférieure à 180 secondes. Les analystes de l'industrie notent également que les campagnes avec des overlays persuasifs enregistrent des taux de conversion entre 12 % et 20 %, cohérents avec les 17 % détectés par DNSFilter.
Données clés : 17 % de "conversion" lors de l'exécution de la commande.
Tactique : superposition de vérification qui simule un contrôle anti-bot et guide l'exécution de PowerShell.
Impact : vol d'identifiants, de cookies, de 2FA et de crypto-monnaie de portefeuille avec une monétisation presque instantanée.
Un exemple de faux CAPTCHA qui demande une vérification "manuelle" : un panneau d'avertissement à ne pas négliger.
Comment fonctionne la tromperie : du faux "Je ne suis pas un robot" aux malwares en mémoire
Les faux CAPTCHAs imitent le classique "Je ne suis pas un robot", mais au lieu de valider l'accès, ils incitent l'utilisateur à appuyer sur Windows+R et à coller une commande. Cela lance une exécution PowerShell qui télécharge et charge en mémoire une DLL liée à Lumma Stealer, utilisant souvent une technique sans fichier pour échapper aux logiciels antivirus traditionnels.
Les logiciels malveillants peuvent désactiver ou contourner des contrôles d'exécution tels que AMSI (Antimalware Scan Interface) pour cacher les charges utiles chargées en mémoire. Un aspect intéressant est la vitesse de collecte : une fois actif, le logiciel malveillant extrait les mots de passe enregistrés, les cookies, les jetons de session, les codes 2FA et les données de portefeuille de crypto-monnaie.
Le cas observé par DNSFilter : superposition sur des sites légitimes
L'alerte a été déclenchée lorsqu'un fournisseur géré a détecté un superposé de vérification sur un site bancaire européen : il affichait une fausse erreur DNS et nécessitait une "vérification manuelle". L'utilisateur a ensuite été guidé pour exécuter PowerShell, initiant le téléchargement et l'exécution de la charge utile Lumma. En trois jours, 23 pages similaires ont été bloquées ; il convient de noter qu'environ 1 utilisateur sur 6 a suivi les étapes proposées.
Chronologie d'un vol en 3 minutes
Entrée : l'utilisateur visite un site légitime ou une page clonée ; un faux CAPTCHA avec une erreur DNS apparaît.
Ingénierie sociale : la page invite à "valider" l'accès avec Windows+R et une commande précompilée.
Exécution : PowerShell désactive des contrôles comme AMSI, charge une DLL de Lumma Stealer et reste en mémoire (fichierless).
Exfiltration : le logiciel malveillant collecte les identifiants de navigateur, les cookies, la 2FA, la seed et les données de portefeuille provenant des cryptomonnaies.
Monétisation : les clés sont utilisées pour transférer des fonds sur DEX et des mélangeurs ; le blanchiment se produit en quelques minutes.
Propagation, variantes et domaines associés
La campagne a été détectée à plusieurs reprises dans une plage étroite, les pages changeant de domaine et de graphiques pour échapper aux blocages. Toutes les variantes ne sont pas sans fichier : certaines proposent un téléchargement exécutable déguisé en "vérificateur". Dans ce contexte, parmi les domaines observés dans des campagnes similaires, on trouve human-verify-7u.pages.dev et recaptcha-manual.shop.
Pourquoi la récupération des cryptomonnaies est-elle si difficile
La vitesse est l'arme principale de l'attaque. Une fois volés, les fonds sont déplacés vers DEX et des outils d'automatisation qui fragmentent les transactions. Pour cette raison, les équipes d'analyse on-chain signalent que le blanchiment peut se produire en quelques minutes, rendant la récupération extrêmement complexe.
Indicateurs techniques (pour SOC/IT)
Domaines/URLs observés : human-verify-7u.pages.dev, recaptcha-manual.shop, variantes sur les sous-domaines « human-verify » et « recaptcha-manual ».
Tactiques, Techniques, Procédures (TTP) : ingénierie sociale via superposition ; exécution de PowerShell avec désactivation de l'AMSI ; chargement de DLL en mémoire (sans fichier) ; collecte d'identifiants depuis le navigateur et le portefeuille.
Signaux d'anomalie d'endpoint : processus powershell.exe lancé par explorer.exe/win+r ; activité réseau immédiate après l'exécution ; accès aux répertoires de profils de navigateur.
Modèle de page : erreur DNS factice + demande de "vérification manuelle" avec la combinaison Windows+R et "copier/coller".
Avis juridique : partagez les IOC de manière responsable ; évitez de diffuser des commandes exécutables ou des charges utiles.
Guide rapide : Défense immédiate
Ne collez pas les commandes suggérées par les pages web ou les fenêtres contextuelles.
Configurer des blocs DNS et un filtrage de contenu pour les domaines suspects et les catégories de malvertising.
Limitez l'exécution des scripts PowerShell pour les utilisateurs non administrateurs ; activez le mode de langage contraint lorsque cela est possible.
Activez et surveillez les solutions AMSI et EDR avec des règles sur les processus en mémoire.
Séparez l'utilisation des portefeuilles du navigateur principal ; préférez les portefeuilles matériels.
Désactivez la sauvegarde des mots de passe dans le navigateur ; utilisez un gestionnaire de mots de passe avec MFA.
Former les utilisateurs avec des exemples réels de phishing et de faux CAPTCHA sur des sites sensibles.
Mesures de contre pour les entreprises
Segmentation du réseau et blocs au niveau du proxy/DNS pour les domaines nouvellement enregistrés et les modèles « human-verify/recaptcha-manual ».
Politique de presse-papiers sur les appareils gérés ; alerte lorsqu'un site incite à copier/coller des commandes.
Chasse aux menaces sur les chaînes d'injection de processus et sur les exécutions anormales de powershell.exe.
Plan d'escalade immédiat : isolement de l'hôte, révocation de session, rotation des identifiants, invalidation du jeton et du cookie.
Limiter les dégâts après le vol
Isolez immédiatement l'appareil et révoquez les sessions actives sur les services critiques.
Régénérer la phrase de graine et déplacer les fonds vers des portefeuilles sécurisés et non compromis.
Activez MFA sur des applications indépendantes du navigateur ; évitez les mécanismes liés aux cookies ou aux sessions synchronisées.
FAQ
Comment reconnaître un CAPTCHA faux ?
Soyez prudent avec les pages qui demandent Windows+R, le copier/coller de commandes ou le téléchargement de "vérificateurs". En cas de doute, vérifiez l'URL et fermez la page.
S'agit-il toujours d'une attaque sans fichier ?
Non. Certaines variantes téléchargent un exécutable traditionnel ; d'autres fonctionnent entièrement en mémoire pour réduire les traces sur le disque.
Quelles données cherchent-ils à voler ?
Identifiants des navigateurs, cookies, 2FA, données et clés de portefeuille crypto.
Sources et idées