Uma nova campanha em larga escala foi identificada explorando mais de 100 sites WordPress comprometidos para direcionar visitantes a páginas falsas de verificação CAPTCHA que utilizam a tática de engenharia social ClickFix para entregar stealers de informações, ransomware e mineradores de criptomoedas.
A campanha de cibercrime em grande escala, detectada pela primeira vez em agosto de 2025, recebeu o codinome ShadowCaptcha pela Agência Nacional Digital de Israel.
"A campanha [...] combina engenharia social, living-off-the-land binaries (LOLBins) e entrega de payloads em múltiplas etapas para ganhar e manter acesso nos sistemas-alvo", afirmam os pesquisadores Shimi Cohen, Adi Pick, Idan Beit Yosef, Hila David e Yaniv Goldman.
Os objetivos finais do ShadowCaptcha são coletar informações sensíveis por meio de credential harvesting e exfiltração de dados do navegador, implantar mineradores de criptomoedas para gerar lucros ilícitos e até causar surtos de ransomware.
Os ataques começam quando usuários desavisados visitam um site WordPress comprometido que foi injetado com código JavaScript malicioso responsável por iniciar uma cadeia de redirecionamento que os leva a uma página falsa de CAPTCHA da Cloudflare ou Google.
A partir daí, a cadeia do ataque se bifurca em duas rotas, dependendo das instruções ClickFix exibidas na página: uma que utiliza o diálogo Windows Run e outra que orienta a vítima a salvar uma página como uma HTML Application (HTA) e executá-la via mshta.exe.
O fluxo de execução ativado pelo diálogo Windows Run culmina no deployment dos stealers Lumma e Rhadamanthys via instaladores MSI, lançados usando msiexec.exe ou por arquivos HTA hospedados remotamente, executados com mshta.exe.
Já a execução do payload HTA salvo resulta na instalação do ransomware Epsilon Red.
Vale destacar que o uso das iscas ClickFix para enganar usuários a baixar arquivos HTA maliciosos e espalhar o ransomware Epsilon Red foi documentado no mês passado pela CloudSEK.
"A página ClickFix comprometida executa automaticamente um JavaScript ofuscado que usa 'navigator.clipboard.writeText' para copiar um comando malicioso para a área de transferência do usuário sem interação, contando que ele cole e execute o comando sem saber", explicam os pesquisadores.
Os ataques são caracterizados pelo uso de técnicas anti-debugger para impedir a inspeção das páginas via developer tools do navegador, além do uso de DLL side-loading para executar código malicioso disfarçado de processos legítimos.
Campanhas selecionadas do ShadowCaptcha também já entregaram mineradores de criptomoedas baseados em XMRig, com algumas variantes buscando a configuração de mineração em URLs do Pastebin em vez de codificá-la diretamente no malware, permitindo ajustar os parâmetros dinamicamente.
Nos casos em que os mineradores são implantados, os atacantes deixarão um driver vulnerável ("WinRing0x64.sys") para obter acesso em nível kernel e interagir com os registradores da CPU, com o objetivo de melhorar a eficiência da mineração.
Dos sites WordPress infectados, a maioria está localizada na Austrália, Brasil, Itália, Canadá, Colômbia e Israel, abrangendo os setores de tecnologia, hospitalidade, jurídico/financeiro, saúde e imobiliário.
Para mitigar os riscos do ShadowCaptcha, é essencial treinar usuários para identificar campanhas ClickFix, segmentar redes para prevenir movimentos laterais e manter sites WordPress atualizados e protegidos com autenticação multifator (MFA).
"O ShadowCaptcha mostra como ataques de engenharia social evoluíram para operações cibernéticas de espectro completo", afirmam os pesquisadores.
Ao enganar usuários para executar ferramentas nativas do Windows e sobrepor scripts ofuscados e drivers vulneráveis, os operadores ganham persistência furtiva e podem alternar entre roubo de dados, mineração de criptomoedas ou ransomware.
A divulgação ocorre no momento em que a GoDaddy detalha a evolução do Help TDS, um sistema de distribuição (ou direcionamento) de tráfego que está ativo desde 2017 e tem sido vinculado a esquemas maliciosos como VexTrio Viper.
O Help TDS fornece parceiros e afiliados com templates de código PHP que são injetados em sites WordPress, direcionando os usuários a destinos maliciosos conforme critérios de segmentação.
"A operação é especializada em golpes de suporte técnico, utilizando manipulação full-screen do navegador e técnicas para impedir a saída, prendendo vítimas em páginas fraudulentas de alertas de segurança do Microsoft Windows, com monetização de contingência via golpes de namoro, criptomoedas e sorteios", explicou o pesquisador de segurança Denis Sinegubko.
Algumas das campanhas de malware notáveis que usaram o Help TDS nos últimos anos incluem DollyWay, Balada Injector e DNS TXT redirects.
As páginas de golpe empregam JavaScript para forçar navegadores a entrar em modo full-screen, exibem alertas fraudulentos e até apresentam desafios CAPTCHA falsos antes de renderizá-los, na tentativa de contornar scanners automatizados de segurança.
Operadores do Help TDS desenvolveram um plugin malicioso para WordPress chamado "woocommerce_inputs" entre o final de 2024 e agosto de 2025 para habilitar a funcionalidade de redirecionamento, ao mesmo tempo em que acrescentam recursos de credential harvesting, filtragem geográfica e técnicas avançadas de evasão.
Estima-se que o plugin esteja instalado em mais de 10 mil sites globalmente.
O plugin malicioso se disfarça como WooCommerce para evitar a detecção pelos administradores dos sites.
Ele é instalado exclusivamente por atacantes após comprometer sites WordPress por meio de credenciais de administrador roubadas.
"Esse plugin funciona tanto como ferramenta de monetização de tráfego quanto como mecanismo de credential harvesting, demonstrando uma evolução contínua de funcionalidade simples de redirecionamento para uma oferta sofisticada de malware-as-a-service", afirmou a GoDaddy.
Oferecendo soluções prontas, incluindo infraestrutura de C2, templates padronizados de injeção PHP e plugins maliciosos completos para WordPress, o Help TDS reduziu a barreira de entrada para cibercriminosos que buscam monetizar sites infiltrados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...