🐀 DocuSign… ou Docteur Signé la Mort ? Quand un CAPTCHA vous colle un RAT dans le presse-papiers

📌 Le pitch : DocuSign détourné pour propager NetSupport RAT

« Cliquez ici pour signer le document. Ah, et tant qu’on y est, installez ce petit RAT qui traînait là. Merci, bonne journée. »

Vous connaissez DocuSign ? Ce service parfaitement légitime, utilisé par des millions de personnes pour signer des documents sans avoir à toucher un stylo ? Eh bien, il vient d’être recyclé comme cheval de Troie numérique dans une campagne particulièrement vicieuse.

Les attaquants ont monté un faux site DocuSign, copie presque parfaite de l’original, pour berner les victimes avec un petit CAPTCHA bidon. Sauf que ce CAPTCHA ne vérifie rien. Il vous colle un script PowerShell obfusqué directement dans le presse-papiers. Et là, magie noire de l’ingénierie sociale : on vous demande gentiment de faire Win + R, Ctrl + V et Enter. Ce que beaucoup font, sans trop réfléchir.

Résultat : un joli cadeau dans votre système. 🎁

🪓 Une attaque en plusieurs étages, façon lasagnes toxiques

🍮 Étape 1 : Faux site, vrai leurre

Le faux site DocuSign ressemble à s’y méprendre au vrai. Les logos, le ton, la mise en page… tout y est. Mais au lieu d’un document à signer, vous tombez sur une fausse vérification CAPTCHA. Jusque-là, rien d’alarmant — les CAPTCHAs sont partout, et c’est bien ça le piège.

📋 Étape 2 : Le copier-coller de la mort

Ce CAPTCHA, au lieu de vous faire cliquer sur des feux rouges ou des vélos, vous glisse un script PowerShelldirectement dans le presse-papiers. Un coup d’œil rapide ne permet pas de voir grand-chose : c’est obfusqué, sale, et bien sûr dangereux.

Ensuite, comme une recette de cuisine cybercriminelle :

“Ouvrez la boîte de dialogue Exécuter (Win + R), collez ce que vous venez de copier (Ctrl + V), et appuyez sur Entrée.”

On appelle ça de l’auto-complicité d’infection. Et c’est diaboliquement efficace.

💥 Étape 3 : Multi-stage malware

Une fois le premier script exécuté, le système télécharge d’autres scripts, qui eux-mêmes installent le NetSupport RAT. Un petit bijou d’outil de contrôle à distance, à la base prévu pour de l’assistance légitime… mais ici utilisé pour fouiller vos fichiers, prendre des captures écran, installer d’autres malwares, et pourquoi pas, siphonner vos mots de passe. 🎉

🧠 Pourquoi ça marche encore en 2025 ?

Parce que l’humain est le maillon faible, encore et toujours. Même en 2025.
On a des EDR, des SIEM, des MFA, des XDR, des SOCs boostés à l’IA…
Mais tout ça ne sert à rien si :

• Les gens copient-collent sans lire
• Les liens sont cliqués sans méfiance
• Et les CAPTCHA sont considérés comme un truc banal, jamais un piège

Ajoutez à cela une interface connue (DocuSign), un besoin de signer urgent (merci la pression RH ou juridique), et vous obtenez une victime bien mûre, prête à cliquer là où il ne faut pas.

😡 Et maintenant, on fait quoi ? (Spoiler : pas juste un mail d’alerte)

🧱 Ce que devrait faire une entreprise sérieuse :

• Bloquer l’accès aux sites frauduleux avec un DNS filtrant digne de ce nom
• Bloquer PowerShell pour les utilisateurs lambdas (oui, ça existe)
• Surveiller les appels à Run/Clipboard via l’EDR
• Former les utilisateurs (non, une fois tous les 3 ans ne suffit pas)
• Auditer les comportements utilisateurs avec du vrai phishing test, pas juste un mail fluo « Alerte mot de passe »

🗣️ Ce qu’on entend trop souvent :

“Mais c’est un problème utilisateur, pas une faille système.”

🛑 Stop. Si vous laissez vos collaborateurs ouvrir Win+R et exécuter des scripts clipboard sans garde-fou, ce n’est plus un problème utilisateur, c’est une faille de gouvernance.

🎯 Ce qu’il faut retenir

• Non, tous les CAPTCHAs ne sont pas vos amis.
• Oui, un simple copier-coller peut ouvrir une brèche dans tout votre SI.
• Et non, NetSupport RAT n’est pas là pour vous aider à imprimer un PDF.

Ce genre d’attaque, c’est du phishing niveau supérieur, qui contourne les filtres classiques et se nourrit de réflexes humains.

✍️ Conclusion : si vous voyez « DocuSign » et qu’on vous demande de copier quoi que ce soit dans Exécuter…

…fuyez. Ou mieux : appelez votre DSI ou RSSI, faites un signalement, et allez vous faire un café. Ce sera plus sain pour vous et pour le réseau.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com