ZATAZ découvre des sites web paraissant légitime, un « captcha » surgit, puis un message vous pousse à lancer une commande Terminal. Ce n’est pas une vérification anti-robot : c’est une tentative d’intrusion. Explication.Le scénario est classique, mais radicale si on n’y prête pas garde. ZATAZ a découvert un faux test « anti-bot » baptisé BotGuard dans plusieurs faux blogs français. Il demande de coller une ligne de commande pour valider votre visite sur un blog. Ce n’est pas un CAPTCHA, mais une exécution de code.
Cette campagne trompeuse exploite un faux test de vérification humaine nommé BotGuard. Les internautes voient une page figée puis un message leur proposant d’exécuter une commande PowerShell ou curl pour « prouver qu’ils ne sont pas un robot ». En réalité, cette manipulation télécharge et exécute à distance un script inconnu, ouvrant la porte à des infections multiples : vol de données, persistance au démarrage, intégration dans un botnet, voire minage clandestin. L’attaque se distingue par sa simplicité et son efficacité sociale : faire croire qu’une étape technique est nécessaire pour valider l’accès au site. Un vrai CAPTCHA n’exige jamais d’interaction avec PowerShell.
L’un des blogs en .fr exploité dans cette tentative d’infiltration. – Capture : zataz.com Un leurre technique d’apparence anodine
L’utilisateur navigue sans méfiance lorsqu’une page se bloque quelques secondes. Un message s’affiche : « Answer the protector challenge. Ref : 45321 ». Il prétend protéger le site des robots et propose une commande censée débloquer la navigation. Chaque visite génère une variante :
La commande effectue une action directe : télécharger un script distant et l’exécuter sans contrôle utilisateur. Dans le code PowerShell, iwr (Invoke-WebRequest) sert à récupérer le fichier, et iex (Invoke-Expression) à l’interpréter aussitôt. L’option -nop désactive le profil de l’utilisateur et -w hidden masque la fenêtre. En une ligne, l’attaquant prend la main. Les victimes pensent résoudre un simple blocage. Elles exécutent en réalité une procédure équivalente à un Remote Code Execution. Le script téléchargé, souvent obfusqué, peut ensuite modifier le registre, déposer un binaire dans AppData ou créer une tâche planifiée.Des objectifs variés mais cohérents
L’intérêt principal pour les opérateurs de ces faux CAPTCHA est la persistance. Ils cherchent à maintenir un accès discret à la machine. Une fois implanté, le code malveillant peut collecter cookies, sessions, mots de passe ou jetons d’API ; injecter de la publicité et monétiser le trafic ; miner de la cryptomonnaie en tâche de fond ; ou intégrer la machine dans un réseau criminel servant d’amplificateur d’attaques. ZATAZ a repéré ce « piège » dans plusieurs blogs .fr. Tous allaient chercher un script caché sur espace en .ru (Russie). Le site a été fermé depuis. Attention, ce n’est pas parce qu’il était basé en Russie, que des russes étaient cachés derrière l’attaque.
En cas d’exécution avec privilèges élevés, via la validation du contrôle UAC, le script gagne des droits d’administration. Il peut alors manipuler le registre global, installer des pilotes, désactiver Defender ou rediriger le trafic réseau. Chaque déclinaison de commande change d’URL et d’argument pour échapper à la détection. Les noms de domaine, souvent éphémères, se terminent par des extensions exotiques (.ru, .top, .xyz) ou contiennent des suites aléatoires. L’apparition d’un compteur, d’un identifiant « Ref : … » ou de fautes d’orthographe renforce la tromperie.Comment reconnaître le piège
Le principe de détection est simple. Un vrai CAPTCHA repose sur un formulaire visuel : images, cases à cocher ou caractères à recopier. Aucun ne demande d’ouvrir PowerShell. Le signal d’alerte immédiat réside donc dans cette combinaison : « Prouvez que vous êtes humain » + commande système à exécuter.
La présence de termes techniques tels que iwr, curl, Invoke-Expression ou bitsadmin doit suffire à interrompre l’action. Le CAPTCHA prétendu qui affiche ces éléments n’est qu’un relais d’exécution.
Cas A – La commande exécutée sans validation UAC
Le risque se limite souvent à une persistance dans l’espace utilisateur. Première étape : déconnecter immédiatement la machine d’Internet, puis fermer le navigateur concerné. Dans Paramètres → Applications → Démarrage, désactiver toute entrée inconnue. Vérifier ensuite le Planificateur de tâches et supprimer celles non créées par l’utilisateur.
Un contrôle réseau s’impose :
Si un proxy est défini alors qu’aucun n’est utilisé, revenir à la configuration « Direct ».Poursuivre par une analyse complète. Dans Sécurité Windows → Protection contre les virus → Analyse hors ligne, exécuter un scan. En complément, utiliser Malwarebytes pour une recherche à la demande.
Pour observer les connexions suspectes, l’outil TCPView (Microsoft Sysinternals) permet d’identifier tout binaire bavard communiquant vers l’extérieur.
Cas B – La commande exécutée avec validation UAC
Les actions du Cas A restent nécessaires, mais s’ajoutent des mesures de remédiation : changement immédiat des mots de passe depuis une machine saine ; révocation des sessions et jetons sur les services cloud, messageries et dépôts GitHub ; vérification de la liste d’appareils connectés et déconnexion des terminaux inconnus.
Pour un contrôle approfondi, PowerShell fournit deux requêtes utiles :
Ces commandes listent respectivement les éléments de démarrage et les tâches planifiées.Certaines persistances s’inscrivent dans les clés Run du registre :
Tout élément inconnu ou non signé doit être supprimé après sauvegarde.Côté navigateurs, les extensions Chrome et Edge se consultent via :
chrome://extensions
edge://extensions
Les dossiers correspondants :
Supprimer celles non reconnues, redémarrer, puis recontrôler le système.Réinstallation propre en dernier recours
Si le doute persiste, ZATAZ vous conseille de faire appel à un prestataire spécialisé. La solution la plus fiable reste la réinitialisation complète. Sauvegarder uniquement les données personnelles. Dans Paramètres → Système → Récupération → Réinitialiser ce PC, choisir Supprimer tout puis Réinstallation via le cloud. Au premier démarrage, ne pas restaurer les applications ni les réglages. Réinstaller les logiciels depuis leurs sources officielles et restaurer les documents ensuite. Une surveillance de quelques jours via Defender, Autoruns et TCPView permet de vérifier l’absence de rechute.
La règle d’or est unique : ne jamais coller une commande issue d’une page web. Aucun site légitime ne requiert une interaction directe avec PowerShell ou curl.
Maintenir Windows et les navigateurs à jour réduit les failles exploitables. Limiter les extensions au strict nécessaire et purger celles synchronisées avant toute reconnexion de compte Chrome ou Edge.
L’usage quotidien d’un compte non-administrateur minimise les dégâts en cas d’exécution accidentelle. L’UAC doit rester actif, au niveau par défaut ou supérieur.
merci à ZATAZ
