През август 2025 г. специалисти по киберсигурност откриха мащабна престъпна кампания, получила кодовото име ShadowCaptcha. Тя използва повече от 100 компрометирани WordPress сайта, за да пренасочва нищо неподозиращи посетители към фалшиви CAPTCHA страници. Зад измамните страници стои добре организирана схема за социално инженерство, известна като ClickFix, която има за цел да подмами потребителите да изпълнят злонамерен код. Резултатът – кражба на чувствителна информация, инсталиране на криптомайнъри, а понякога дори и заразяване с рансъмуер.
Как работи атаката?
Посещение на заразен сайт
Потребителят отваря WordPress сайт, който изглежда напълно нормален. В кода на сайта обаче е внедрен зловреден JavaScript.
Пренасочване към фалшива CAPTCHA страница
Жертвата бива отведена към страница, която прилича на Cloudflare или Google CAPTCHA проверка. За да изглежда убедително, сайтът изисква „потвърждение, че не сте робот“.
ClickFix подвеждащи инструкции
Тук започва манипулацията – показват се инструкции, които насочват потребителя или да използва Windows Run диалога, или да свали файл под формата на HTML Application (.HTA) и да го стартира.
Инфекцията
При първия сценарий се инсталират крадци на данни като Lumma или Rhadamanthys, които източват пароли, данни от браузъра и друга чувствителна информация.
При втория сценарий, с .HTA файла, се задейства Epsilon Red рансъмуер, който криптира файловете на жертвата.
Защо ShadowCaptcha е опасен?
Тази кампания комбинира различни техники, за да остане незабелязана:
Кои са засегнатите?
Засегнатите WordPress сайтове са в различни държави – Австралия, Бразилия, Италия, Канада, Колумбия и Израел. Секторите включват технологии, здравеопазване, недвижими имоти, финанси и хотелиерство. Как точно са били компрометирани сайтовете не е напълно ясно, но има предположения за:
Свързани кампании и инструменти
ShadowCaptcha не е изолиран случай. Паралелно с него продължава да действа и т.нар. Help TDS – система за разпределение на интернет трафик, активна още от 2017 г. Тя също използва заразени WordPress сайтове, за да пренасочва потребители към измамни страници.
През 2024–2025 г. е засечен злонамерен плъгин за WordPress – woocommerce_inputs, който се представя като официален WooCommerce компонент. След като атакуващите получат администраторски достъп, го инсталират и чрез него пренасочват жертвите към фишинг страници, измами с криптовалути и дори фалшиви „съобщения за сигурност“ от Microsoft.
Как да се предпазим?
За собствениците на сайтове и крайните потребители има няколко ключови препоръки:
Заключение
ShadowCaptcha е ярък пример за това как киберпрестъпниците комбинират социално инженерство и технически трикове, за да постигнат различни цели – от кражба на пароли до криптовалутен добив и пускане на рансъмуер. Атаките вече не се ограничават само до класически вируси, а представляват сложни „операции“, в които жертвата несъзнателно съдейства на нападателя.
За всеки, който управлява WordPress сайт или просто сърфира в интернет, е важно да бъде внимателен и да не подценява дори привидно безобидни съобщения за „CAPTCHA проверка“.
