S’ha observat una nova campanya a gran escala que explota més de 100 llocs de WordPress compromesos per dirigir els visitants del lloc a pàgines falses de verificació de CAPTCHA que fan servir la tàctica d’enginyeria social ClickFix per oferir robadors d’informació, programari de segrest i miners de criptomoneda.

La campanya de ciberdelinqüència a gran escala, detectada per primera vegada l’agost de 2025, ha rebut el nom en clau ShadowCaptcha per l’Agència Digital Nacional d’Israel.

«La campanya […] combina enginyeria social, atacs LOTL (LOLBins) i lliurament de càrrega útil en diverses etapes per guanyar i mantenir un lloc en sistemes orientat», van afirmar els investigadors Shimi Cohen, Adi Pick, Idan Beit Yosef, Hila David i Yaniv Goldman. 

«Els objectius finals de ShadowCaptcha són recollir informació delicada mitjançant la recollida de credencials i l’exfiltració de dades del navegador, desplegar miners de criptomoneda per generar beneficis il·lícits i fins i tot provocar brots de programari de segrest.»

Els atacs comencen amb usuaris desprevinguts que visiten un lloc web de WordPress compromès que s’ha injectat amb codi JavaScript maliciós que és responsable d’iniciar una cadena de redirecció que els porta a una pàgina falsa de Cloudflare o Google CAPTCHA.

A partir d’aquí, la cadena d’atac es divideix en dues, depenent de les instruccions de ClickFix que es mostren a la pàgina web: una que fa servir el diàleg d’execució de Windows i una altra que guia la víctima a desar una pàgina com a aplicació HTML (HTA) i després executar-la amb mshta.exe.

El flux d’execució activat mitjançant el diàleg d’execució de Windows culmina amb el desplegament dels lladres d’informació de Lumma i Rhadamanthys mitjançant instal·ladors MSI llançats mitjançant msiexec.exe o mitjançant fitxers HTA allotjats de forma remota i executats amb mshta.exe, mentre que l’execució de la càrrega útil HTA desada dona lloc a la instal·lació del programari de segrest Epsilon Red.

Val la pena assenyalar que l’ús d’atraccions ClickFix per enganyar els usuaris perquè baixin fitxers HTA maliciosos per difondre el programari de segrest Epsilon Red el va documentar el mes passat CloudSEK.

«La pàgina ClickFix compromesa executa automàticament JavaScript ofuscat que utilitza ‘navigator.clipboard.writeText’ per copiar una ordre maliciosa al porta-retalls de l’usuari sense cap interacció, confiant que els usuaris l’enganxin i l’executin sense saber-ho», van dir els investigadors.

Els atacs es caracteritzen per l’ús de tècniques antidepuració per evitar la inspecció de pàgines web mitjançant eines de desenvolupament del navegador, alhora que confien en la càrrega lateral de DLL per executar codi maliciós sota l’aparença de processos legítims.

En algunes campanyes de ShadowCaptcha s’ha observat la distribució d’un miner de criptomoneda basat en XMRig, amb algunes variants que obtenen la configuració de mineria d’un URL de Pastebin en lloc de codificar-la al programari maliciós, cosa que els permet ajustar els paràmetres sobre la marxa.

En els casos en què es despleguen les càrregues útils dels miners, també s’ha observat que els atacants llencen un controlador vulnerable (“WinRing0x64.sys”) per aconseguir l’accés a nivell del nucli i interactuar amb els registres de la CPU amb l’objectiu de millorar l’eficiència de la mineria.

Dels llocs de WordPress infectats, la majoria es troben a Austràlia, Brasil, Itàlia, Canadà, Colòmbia i Israel, i abasten els sectors tecnològic, hoteler, legal/financer, sanitari i immobiliari.

No se sap exactament com es comprometen aquests llocs de WordPress. No obstant això, Goldman va dir a The Hacker News que hi ha una confiança mitjana que els atacants van obtenir accés mitjançant diversos explotadors coneguts en una varietat de connectors i, en alguns casos, mitjançant el portal de WordPress amb credencials compromeses.

Per mitigar els riscos que suposa ShadowCaptcha, és essencial entrenar els usuaris per vigilar les campanyes ClickFix, segmentar les xarxes per evitar el moviment lateral i assegurar-se que els llocs de WordPress es mantenen actualitzats i segurs mitjançant proteccions d’autenticació multifactor (MFA).

«ShadowCaptcha mostra com els atacs d’enginyeria social han evolucionat cap a operacions cibernètiques d’espectre complet», van dir els investigadors. «En enganyar els usuaris perquè executin eines integrades de Windows i en capes de scripts ofuscats i controladors vulnerables, els operadors aconsegueixen una persistència furtiva i poden pivotar al robatori de dades, a la mineria criptogràfica o al programari de segrest.

La divulgació arriba quan GoDaddy va detallar l’evolució Help TDS, un sistema de distribució (o direcció) de trànsit que està actiu des del 2017 i que s’ha relacionat amb esquemes maliciosos com ara VexTrio Viper. Help TDS ofereix als socis i afiliats plantilles de codi PHP que s’injecten als llocs de WordPress i, finalment, dirigeixen els usuaris a destinacions malicioses en funció dels criteris d’orientació.

«L’operació s’especialitza en estafes de suport tècnic que fan servir tècniques de manipulació del navegador a pantalla completa i prevenció de sortides per atrapar víctimes en pàgines d’alertes de seguretat de Microsoft Windows fraudulentes, amb monetització alternativa mitjançant cites, criptomoneda i estafes de sorteigs», va dir l’investigador de seguretat Denis Sinegubko. 

Algunes de les campanyes de programari maliciós notables que han aprofitat Help TDS en els darrers anys inclouen redireccions DollyWay, Balada Injector i DNS TXT. Les pàgines d’estafa, per altra banda, fan servir JavaScript per obligar els navegadors a entrar en mode de pantalla completa i mostrar l’alerta fraudulenta i fins i tot inclouen reptes CAPTCHA falsificats abans de representar-los per evitar els escàners de seguretat automatitzats.

Es diu que els operadors de Help TDS van desenvolupar un connector de WordPress maliciós conegut com a «woocommerce_inputs» entre finals de 2024 i agost de 2025 per habilitar la funcionalitat de redirecció, a més d’afegir constantment la recollida de credencials, el filtratge geogràfic i les tècniques d’evasió avançades. Es calcula que el connector està instal·lat en més de 10.000 llocs a tot el món.

El connector maliciós es fa passar per WooCommerce per evadir la detecció dels propietaris del lloc. Els atacants l’instal·len exclusivament després de comprometre els llocs de WordPress mitjançant credencials d’administrador robades.

«Aquest connector serveix tant d’eina de monetització de trànsit com a mecanisme de recollida de credencials, i demostra una evolució contínua des de la funcionalitat de redirecció simple fins a una oferta sofisticada de programari maliciós com a servei», va dir GoDaddy.

«En proporcionar solucions ja fetes que inclouen infraestructura C2, plantilles d’injecció PHP estandarditzades i complements de WordPress maliciosos amb totes les funcions, Help TDS ha reduït la barrera d’entrada per als ciberdelinqüents que busquen monetitzar els llocs web infiltrats.»