Se ha observado una nueva campaña a gran escala explotando más de 100 sitios de WordPress comprometidos para dirigir a los visitantes del sitio a páginas de verificación Captcha falsas que emplean la Táctica de Ingeniería Social de ClickFix para entregar robos de información, ransomware y mineros de criptomonedas.
La campaña cibernética a gran escala, detectada por primera vez en agosto de 2025, ha sido nombrado en código ShadowCaptcha por la Agencia Digital Nacional de Israel.
«La campaña (…) combina la ingeniería social, los binarios vivos de la tierra (Lolbins) y la entrega de carga útil de varias etapas para ganar y mantener un punto de apoyo en los sistemas específicos», dijeron los investigadores Shimi Cohen, Adi Pick, Idan Beit Yosef, Hila David y Yaniv Goldman.
«Los objetivos finales de ShadowCaptcha son recopilar información confidencial a través de la recolección de credenciales y la exfiltración de datos del navegador, implementar mineros de criptomonedas para generar ganancias ilícitas e incluso causar brotes de ransomware».
Los ataques comienzan con usuarios desprevenidos que visitan un sitio web comprometido de WordPress que se ha inyectado con un código JavaScript malicioso que es responsable de iniciar una cadena de redirección que los lleva a una página falsa de CloudFlare o Google Captcha.
A partir de ahí, la cadena de ataque tiene la bifurcación en dos, dependiendo de las instrucciones de ClickFix que se muestran en la página web: una que utiliza el diálogo de Windows Run y otro que guía a la víctima para guardar una página como una aplicación HTML (HTA) y luego ejecutarlo usando mshta.exe.
El flujo de ejecución activado a través del cuadro de diálogo Windows Ejecutar culmina en la implementación de Lumma y Rhadamanthys Stealers a través de instaladores MSI lanzados utilizando msiexec.exe o a través de archivos HTA de ramificación remotamente rejuiciosa utilizando MSHTA.exe, donde la ejecución de la carga útil de HTA ahorrada resulta en la instalación de Epsilon Ransomware.
Vale la pena señalar que CloudSek documentó el mes pasado documenta el uso de señuelos de ClickFix para engañar a los usuarios para que descargue los archivos HTA maliciosos para difundir el ransomware Epsilon Red Red.
«La página de ClickFix comprometida ejecuta automáticamente JavaScript offuscated que usa ‘Navigator.Clipboard.WriteText’ para copiar un comando malicioso al portapapeles del usuario sin ninguna interacción, confiando en los usuarios para pegarlo sin saberlo», dijeron los investigadores.
Los ataques se caracterizan por el uso de técnicas anti-debugger para evitar la inspección de páginas web utilizando herramientas de desarrollador del navegador, al tiempo que depende de la carga lateral de DLL para ejecutar código malicioso bajo la apariencia de procesos legítimos.
Las campañas selectas de ShadowCaptcha han observado entregar un minero de criptomonedas basado en XMRIG, con algunas variantes alcanzando la configuración minera de una URL de pastebina en lugar de codificarla en el malware, lo que les permite ajustar los parámetros de la mosca.
En los casos en que se despliegan las cargas de mineros, también se ha observado que los atacantes dejan caer un conductor vulnerable («Winring0x64.sys») para lograr el acceso a nivel de núcleo e interactuar con los registros de CPU con el objetivo de mejorar la eficiencia minera.
De los sitios infectados de WordPress, la mayoría de ellos se encuentran en Australia, Brasil, Italia, Canadá, Colombia e Israel, que abarcan tecnología, hospitalidad, legal/finanzas, atención médica y sectores inmobiliarios.
Se desconoce exactamente cómo se comprometen estos sitios de WordPress. Sin embargo, Goldman le dijo a The Hacker News que hay una confianza media de que los atacantes obtuvieron acceso a través de varias exploits conocidas en una variedad de complementos, y en algunos casos utilizando el portal de WordPress con credenciales comprometidas.
Para mitigar los riesgos planteados por ShadowCaptcha, es esencial capacitar a los usuarios para vigilar las campañas de clickFix, las redes de segmentos para prevenir el movimiento lateral y garantizar que los sitios de WordPress se mantengan actualizados y asegurados utilizando protecciones de autenticación multifactor (MFA).
«ShadowCaptcha muestra cómo los ataques de ingeniería social se han convertido en operaciones cibernéticas de espectro completo», dijeron los investigadores. «Al engañar a los usuarios para que ejecute herramientas incorporadas en Windows y capas de scripts ofuscados y controladores vulnerables, los operadores obtienen persistencia sigilosa y pueden pivotar entre el robo de datos, la minería de criptografía o el ransomware».
La divulgación se produce cuando GoDaddy detalló la evolución de la ayuda TDS, un sistema de distribución de tráfico (o dirección) que ha estado activo desde 2017 y se ha vinculado a esquemas maliciosos como Vextrio Viper. Ayuda TDS proporciona a los socios y afiliados plantillas de código PHP que se inyectan en sitios de WordPress, lo que finalmente dirige a los usuarios a destinos maliciosos en función de los criterios de orientación.
«La operación se especializa en estafas de soporte técnico que utilizan técnicas de manipulación y prevención de salida de navegador de pantalla completa para atrapar a las víctimas en las fraudulentas páginas de alerta de seguridad de Microsoft Windows, con monetización respaldo a través de citas, criptomonedas y estafas de sorteo», dijo el investigador de seguridad Denis Sinregubko.
Algunas de las notables campañas de malware que han aprovechado los TD de ayuda en los últimos años incluyen redireccionamientos de Dollyway, Balada Inyector y DNS TXT. Las páginas de estafas, por su parte, usan JavaScript para obligar a los navegadores a ingresar al modo de pantalla completa y mostrar la alerta fraudulenta e incluso presentar desafíos de captcha falsificados antes de representarlos en un intento de evitar escáneres de seguridad automatizados.
Se dice que los operadores de TDS de ayuda han desarrollado un complemento malicioso de WordPress conocido como «WooCommerce_Inputs» entre finales de 2024 y agosto de 2025 para habilitar la funcionalidad de redirección, junto con agregar constantemente la cosecha de credenciales, el filtrado geográfico y las técnicas de evasión avanzadas. Se estima que el complemento se instala en más de 10,000 sitios en todo el mundo.
El complemento malicioso se disfraza de WooCommerce para evadir la detección de los propietarios del sitio. Es instalado exclusivamente por los atacantes después de comprometer los sitios de WordPress a través de credenciales de administrador robado.
«Este complemento sirve como una herramienta de monetización de tráfico y un mecanismo de recolección de credenciales, lo que demuestra la evolución continua de la funcionalidad de redirección simple a una sofisticada oferta de malware como servicio», dijo GoDaddy.
«Al proporcionar soluciones preparadas para la infraestructura C2, las plantillas de inyección PHP estandarizadas y los complementos de WordPress maliciosos con todas las funciones, Ayuda TDS ha reducido la barrera de entrada para los ciberdelincuentes que buscan monetizar sitios web infiltrados».
