ShadowCaptcha exploatează site-urile WordPress
Sursă: https://thehackernews.com
A fost identificată o nouă campanie la scară largă ce exploatează peste 100 de site-uri WordPress compromise pentru a direcționa utilizatorii site-ului către pagini false de verificare CAPTCHA ce utilizează tehnica de inginerie socială ClickFix pentru a furniza programe de furt de informații, ransomware și mineri de criptomonede.
Campania combină ingineria socială, binarele living-off-the-land (LOLBins) și furnizarea de payload-uri în mai multe etape pentru a obține și menține o poziție în sistemele vizate, au semnalat specialiștii.
Obiectivele finale ale ShadowCaptcha sunt colectarea de informații sensibile prin colectarea datelor de autentificare și exfiltrarea datelor din browser, utilizarea minerilor de criptomonede pentru a genera profituri ilicite și chiar provocarea unor infectări cu ransomware.
Atacurile încep cu utilizatori ce vizitează un site WordPress compromis, în care a fost injectat un cod JavaScript malițios, responsabil de inițierea unui lanț de redirecționare către o pagină falsă Cloudflare sau Google CAPTCHA.
De acolo, lanțul de atac se ramifică în două, în funcție de instrucțiunile ClickFix afișate pe pagina web: unul care utilizează fereastra Windows Run și altul care ghidează utilizatorul să salveze o pagină ca aplicație HTML (HTA) și apoi să o execute folosind mshta.exe.
Fluxul de execuție declanșat prin fereastra Windows Run culminează cu implementarea programelor de furt de informații Lumma și Rhadamanthys prin intermediul programelor de instalare MSI lansate folosind msiexec.exe sau prin fișiere HTA găzduite la distanță, rulate folosind mshta.exe, în timp ce executarea payload-ului HTA salvat are ca rezultat instalarea ransomware-ului Epsilon Red.
Atacurile se caracterizează prin utilizarea tehnicilor anti-debugger pentru a împiedica inspectarea paginilor web folosind instrumentele de dezvoltare ale browserului, bazându-se în același timp pe side-loading-ul DLL pentru a executa coduri rău intenționate sub masca unor procese legitime.
Pentru a reduce riscurile prezentate de ShadowCaptcha, este esențială informarea utilizatorilor cu privire la campaniile ClickFix, segmentarea rețelelor pentru a preveni atacurile de tip lateral movement și actualizarea și securizarea site-urilor WordPress folosind măsuri de autentificare multifactoriale (MFA).
Sursă: https://thehackernews.com/2025/08/shadowcaptcha-exploits-wordpress-sites.html
