Se ha observado una nueva campaña a gran escalera explotando más de 100 sitios de WordPress comprometidos para dirigir a los visitantes del sitio a páginas de demostración Captcha falsas que emplean la Táctica de Ingeniería Social de ClickFix para entregar robos de información, ransomware y mineros de criptomonedas.
La campaña cibernética a gran escalera, detectada por primera vez en agosto de 2025, ha sido famoso en código ShadowCaptcha por la Agencia Digital Franquista de Israel.
«La campaña (…) combina la ingeniería social, los binarios vivos de la tierra (Lolbins) y la entrega de carga útil de varias etapas para aventajar y suministrar un punto de apoyo en los sistemas específicos», dijeron los investigadores Shimi Cohen, Adi Pick, Idan Beit Yosef, Hila David y Yaniv Goldman.
«Los objetivos finales de ShadowCaptcha son compendiar información confidencial a través de la monasterio de credenciales y la exfiltración de datos del navegador, implementar mineros de criptomonedas para gestar ganancias ilícitas e incluso causar brotes de ransomware».
Los ataques comienzan con usuarios desprevenidos que visitan un sitio web comprometido de WordPress que se ha inyectado con un código JavaScript sagaz que es responsable de iniciar una esclavitud de redirección que los lleva a una página falsa de CloudFlare o Google Captcha.
A partir de ahí, la esclavitud de ataque tiene la derivación en dos, dependiendo de las instrucciones de ClickFix que se muestran en la página web: una que utiliza el diálogo de Windows Run y otro que tutela a la víctima para eludir una página como una aplicación HTML (HTA) y luego ejecutarlo usando mshta.exe.
El flujo de ejecución activado a través del cuadro de diálogo Windows Ejecutar culmina en la implementación de Lumma y Rhadamanthys Stealers a través de instaladores MSI lanzados utilizando msiexec.exe o a través de archivos HTA de ramificación remotamente rejuiciosa utilizando MSHTA.exe, donde la ejecución de la carga útil de HTA ahorrada resulta en la instalación de Epsilon Ransomware.
Vale la pena señalar que CloudSek documentó el mes pasado documenta el uso de señuelos de ClickFix para engañar a los usuarios para que descargue los archivos HTA maliciosos para difundir el ransomware Epsilon Red Red.
«La página de ClickFix comprometida ejecuta automáticamente JavaScript offuscated que usa ‘Navigator.Clipboard.WriteText’ para copiar un comando sagaz al portapapeles del legatario sin ninguna interacción, confiando en los usuarios para pegarlo sin saberlo», dijeron los investigadores.
Los ataques se caracterizan por el uso de técnicas anti-debugger para evitar la inspección de páginas web utilizando herramientas de desarrollador del navegador, al tiempo que depende de la carga adjunto de DLL para ejecutar código sagaz bajo la apariencia de procesos legítimos.
Las campañas selectas de ShadowCaptcha han observado entregar un minero de criptomonedas basado en XMRIG, con algunas variantes alcanzando la configuración minera de una URL de pastebina en división de codificarla en el malware, lo que les permite ajustar los parámetros de la mosca.
En los casos en que se despliegan las cargas de mineros, además se ha observado que los atacantes dejan caer un conductor desvalido («Winring0x64.sys») para alcanzar el comunicación a nivel de núcleo e interactuar con los registros de CPU con el objetivo de mejorar la eficiencia minera.
De los sitios infectados de WordPress, la mayoría de ellos se encuentran en Australia, Brasil, Italia, Canadá, Colombia e Israel, que abarcan tecnología, hospitalidad, lícito/finanzas, atención médica y sectores inmobiliarios.
Se desconoce exactamente cómo se comprometen estos sitios de WordPress. Sin retención, Goldman le dijo a The Hacker News que hay una confianza media de que los atacantes obtuvieron comunicación a través de varias exploits conocidas en una variedad de complementos, y en algunos casos utilizando el portal de WordPress con credenciales comprometidas.
Para mitigar los riesgos planteados por ShadowCaptcha, es esencial capacitar a los usuarios para atender las campañas de clickFix, las redes de segmentos para evitar el movimiento adjunto y respaldar que los sitios de WordPress se mantengan actualizados y asegurados utilizando protecciones de autenticación multifactor (MFA).
«ShadowCaptcha muestra cómo los ataques de ingeniería social se han convertido en operaciones cibernéticas de espectro completo», dijeron los investigadores. «Al engañar a los usuarios para que ejecute herramientas incorporadas en Windows y capas de scripts ofuscados y controladores vulnerables, los operadores obtienen persistencia sigilosa y pueden pivotar entre el robo de datos, la minería de criptografía o el ransomware».
La divulgación se produce cuando GoDaddy detalló la transformación de la ayuda TDS, un sistema de distribución de tráfico (o dirección) que ha estado activo desde 2017 y se ha vinculado a esquemas maliciosos como Vextrio Viper. Ayuda TDS proporciona a los socios y afiliados plantillas de código PHP que se inyectan en sitios de WordPress, lo que finalmente dirige a los usuarios a destinos maliciosos en función de los criterios de orientación.
«La operación se especializa en estafas de soporte técnico que utilizan técnicas de manipulación y prevención de salida de navegador de pantalla completa para atrapar a las víctimas en las fraudulentas páginas de alerta de seguridad de Microsoft Windows, con monetización respaldo a través de citas, criptomonedas y estafas de sorteo», dijo el investigador de seguridad Denis Sinregubko.
Algunas de las notables campañas de malware que han aplicado los TD de ayuda en los últimos primaveras incluyen redireccionamientos de Dollyway, Composición Inyector y DNS TXT. Las páginas de estafas, por su parte, usan JavaScript para afectar a los navegadores a ingresar al modo de pantalla completa y mostrar la alerta fraudulenta e incluso presentar desafíos de captcha falsificados ayer de representarlos en un intento de evitar escáneres de seguridad automatizados.
Se dice que los operadores de TDS de ayuda han desarrollado un complemento sagaz de WordPress conocido como «WooCommerce_Inputs» entre finales de 2024 y agosto de 2025 para habilitar la funcionalidad de redirección, pegado con pegar constantemente la cosecha de credenciales, el filtrado geográfico y las técnicas de esparcimiento avanzadas. Se estima que el complemento se instala en más de 10,000 sitios en todo el mundo.
El complemento sagaz se disfraza de WooCommerce para evitar la detección de los propietarios del sitio. Es instalado exclusivamente por los atacantes a posteriori de comprometer los sitios de WordPress a través de credenciales de administrador robado.
«Este complemento sirve como una útil de monetización de tráfico y un mecanismo de monasterio de credenciales, lo que demuestra la transformación continua de la funcionalidad de redirección simple a una sofisticada ofrecimiento de malware como servicio», dijo GoDaddy.
«Al proporcionar soluciones preparadas para la infraestructura C2, las plantillas de inyección PHP estandarizadas y los complementos de WordPress maliciosos con todas las funciones, Ayuda TDS ha estrecho la barrera de entrada para los ciberdelincuentes que buscan monetizar sitios web infiltrados».
