Nová kampaň označená jako ShadowCaptcha zneužívá více než sto kompromitovaných webů na platformě WordPress k přesměrování návštěvníků na falešné stránky s ověřováním CAPTCHA. Útočníci využívají sociální inženýrství k instalaci malwaru, který krade data, těží kryptoměny nebo spouští ransomware.
Podle Izraelské národní digitální agentury, která kampaň odhalila v srpnu 2025, jde o sofistikovanou operaci kombinující falešné CAPTCHA, taktiku ClickFix a nativní nástroje Windows. Návštěvníci napadených webů jsou přesměrováni na stránky, jež je instruují, aby spustili příkazy ve Windows nebo si uložili HTML aplikaci. Tyto postupy vedou k instalaci různých škodlivých kódů – od krádežních nástrojů Lumma a Rhadamanthys po ransomware Epsilon Red.
Útoky využívají šifrovaný JavaScript a techniky proti debugování, které znesnadňují jejich analýzu. Některé varianty nasazují kryptominer XMRig, jehož konfigurace je dynamicky načítána z Pastebinu, a dokonce instalují zranitelné ovladače pro přístup na úrovni jádra. Většina napadených webů byla identifikována v Austrálii, Brazílii, Itálii, Kanadě, Kolumbii a Izraeli, přičemž zasažené sektory zahrnují technologie, pohostinství, finance, zdravotnictví a reality. Přesný způsob kompromitace stránek není znám, pravděpodobně však útočníci využili zranitelnosti pluginů nebo odcizené přihlašovací údaje.
Zveřejnění kampaně přichází ve chvíli, kdy společnost GoDaddy upozornila na paralelní vývoj systému Help TDS. Ten od roku 2017 umožňuje šířit podvody přes WordPress pomocí šablon PHP kódu a nově také prostřednictvím škodlivého pluginu „woocommerce_inputs“, který napodobuje legitimní modul WooCommerce. Tento plugin je podle odhadů nainstalován na více než 10 000 webech a slouží k monetizaci provozu i krádeži přihlašovacích údajů.
ShadowCaptcha ilustruje, jak se sociální inženýrství propojuje s technickými exploity a mění v komplexní kybernetické operace. Kampaň zdůrazňuje potřebu pravidelně aktualizovat WordPress instalace, chránit je vícefaktorovým ověřováním a zvyšovat povědomí uživatelů o falešných ověřovacích stránkách.
Zdroj: The Hacker News
