Se ha observado que una nueva campaña masiva utiliza más de 100 sitios de WordPress comprometidos para dirigir a los visitantes del sitio a páginas de verificación Captcha falsas que proporcionan acero de información, ransomware y mineros de criptomonedas utilizando tácticas de ingeniería social de ClickFix.
La campaña cibernética a gran escala, detectada por primera vez en agosto de 2025, es conocida como ShadowCaptcha por la Agencia Nacional Digital de Israel.
«Esta campaña (…) combina la ingeniería social, la vida fuera de los binarios de la tierra (LOLBins) y la entrega de carga útil de varias etapas para ganar y mantener el andamio para el sistema objetivo».
«El objetivo final de ShadowCaptcha es recopilar información confidencial a través de la recolección de credenciales y la eliminación de datos del navegador, desplegar mineros de criptomonedas para generar ganancias ilegales e incluso desencadenar brotes de ransomware».
El ataque comienza con un usuario desprevenido que visita un sitio web comprometido de WordPress inyectado con un código JavaScript malicioso responsable de comenzar una cadena de redireccionamiento que lo lleva a una página falsa de CloudFlare o Google Captcha.
A partir de ahí, la cadena de ataque será dos dependiendo del comando ClickFix que aparezca en la página web. Uno usa el diálogo Run Windows, y el otro guía a la víctima para guardar la página como una aplicación HTML (HTA) y la ejecuta usando MSHTA.EXE.
El flujo de ejecución activado a través del cuadro de diálogo Windows Run culmina en las implementaciones de Lumma y Rhadamanthys Stealers a través del lanzamiento del instalador MSI utilizando msiexec.exe o archivos HTA remotos que se ejecutan usando mshta.exe.
Vale la pena señalar que CloudSek lo documentó el mes pasado engañando a los usuarios con señuelos de ClickFix y descargando archivos HTA maliciosos para difundir el ransomware Epsilon Red.
«Una página de ClickFix comprometida ejecuta automáticamente JavaScript offuscado utilizando» Navigator.Clipboard.WriteText «para copiar comandos maliciosos al portapapeles del usuario sin interactuar, dependiendo del usuario para pegar y ejecutar», dijeron los investigadores.
Los ataques se caracterizan por el uso de la tecnología anti-bugger para evitar que las páginas web se inspeccionen utilizando herramientas de desarrollador del navegador, pero también se basa en la respuesta lateral de DLL para ejecutar código malicioso bajo la apariencia de un proceso legítimo.
La campaña de selección de ShadowCaptcha observó la entrega de mineros de criptomonedas basados en XMRIG. Algunas variantes toman la configuración minera de la URL de Paspevin en lugar de codificar con malware, lo que le permite ajustar los parámetros de la mosca.
Si se implementa una carga útil menor, el atacante interactuará con los registros de la CPU con el objetivo de dejar caer los conductores vulnerables («Winring0x64.sys») para proporcionar acceso a nivel de núcleo y mejorar la eficiencia minera.
De los sitios infectados de WordPress, la mayoría de ellos se encuentran en Australia, Brasil, Italia, Canadá, Colombia e Israel, que abarcan la tecnología, la hospitalidad, la legal/financiera, la salud y los sectores de bienes raíces.
Para mitigar las posturas de riesgo de ShadowCaptcha, es esencial estar al tanto de las campañas de ClickFix, capacitar a su sitio de WordPress para evitar el movimiento lateral utilizando redes de segmentos, mantener actualizado su sitio de WordPress y utilizar protección de autenticación multifactor (MFA) para proteger su sitio de WordPress.
«ShadowCaptcha muestra cómo los ataques de ingeniería social evolucionaron a una manipulación cibernética de espectro completo», dijeron los investigadores. «Al ejecutar las herramientas de Windows incorporadas para los usuarios y engañarlos en capas de scripts ofuscados y controladores vulnerables, los operadores obtienen persistencia de sigilo y pueden pivotar entre el robo de datos, la minería criptográfica o el ransomware».
Esta divulgación detalla la evolución de los TD de ayuda, un sistema de distribución de tráfico (o dirección) que GoDaddy ha estado activo desde 2017 y está vinculado a esquemas maliciosos como Vextrio Viper. Ayuda TDS proporciona a los socios y afiliados plantillas de código PHP inyectadas en sitios de WordPress y, en última instancia, dirigidos a los usuarios hacia destinos maliciosos basados en criterios de orientación.
«Esta operación se especializa en fraude de soporte técnico que utiliza tecnología de prevención de salida para capturar a las víctimas en las fraudulentas páginas de alerta de seguridad de Microsoft Windows que utilizan operaciones de navegador de pantalla completa y tecnología de prevención de salida.
Las notables campañas de malware que aprovechan la ayuda de TDS en los últimos años incluyen redireccionamientos de Dollyway, Balada Inyector y DNS TXT. Las páginas de estafas usan JavaScript para obligar a los navegadores al modo de pantalla completa, mostrar alertas maliciosas y tener el desafío de Captcha falso antes de representarlos para evitar escáneres de seguridad automatizados.
Se dice que el operador de TDS desarrolló un complemento malicioso de WordPress entre finales de 2024 y agosto de 2025, conocido como «WooCommerce_Inputs», que permite la funcionalidad de redirección y agregó constantemente la cosecha de credenciales, el filtrado geográfico y las técnicas de evasión avanzadas. Se estima que el complemento se instala en más de 10,000 sitios en todo el mundo.
Los complementos maliciosos se suplicarán a WooCommerce para evitar la detección de los propietarios del sitio. Solo es instalado por un atacante después de violar un sitio de WordPress a través de credenciales de administrador robado.
«El complemento sirve tanto como una herramienta de monetización de tráfico como como un mecanismo de cosecha de calificación, lo que demuestra la evolución continua desde simples capacidades de redirección hasta proporcionar malware sofisticado como servicio», dijo GoDaddy.
«Al ofrecer soluciones estándares que incluyen infraestructura C2, plantillas de inyección PHP estandarizadas y complementos de WordPress maliciosos completamente funcionales, TDS reduce la barrera de entrada para los ciberdelincuentes que intentan monetizar sitios web generalizados».
Source link
