Site ziyaretçilerini, bilgi samançıları, fidye yazılımı ve kripto para madencileri sunmak için ClickFix sosyal mühendislik taktiklerini kullanan sahte captcha doğrulama sayfalarına yönlendirmek için 100’den fazla tehlikeye atılan WordPress sitesinden yararlandığı gözlemlenmiştir.
İlk olarak Ağustos 2025’te tespit edilen büyük ölçekli siber suç kampanyasına kodlanmıştır. Shadowcaptcha İsrail Ulusal Dijital Ajansı tarafından.
“Kampanya […] Hedeflenen sistemlerde bir dayanak kazanmak ve sürdürmek için sosyal mühendislik, kara geçirme ikili ikili dosyaları (lolbins) ve çok aşamalı yük teslimatı,
“ShadowCaptcha’nın nihai hedefleri, kimlik bilgisi hasat ve tarayıcı veri açığa çıkması yoluyla hassas bilgileri toplamak, yasadışı kar elde etmek için kripto para madencilerini dağıtmak ve hatta fidye yazılımı salgınlarına neden olmaktır.”
Saldırılar, onları sahte bir Cloudflare veya Google Captcha sayfasına götüren bir yönlendirme zinciri başlatmaktan sorumlu kötü amaçlı JavaScript kodu ile enjekte edilen tehlikeye atılmış bir WordPress web sitesini ziyaret eden şüphesiz kullanıcılarla başlar.
Oradan, saldırı zinciri, web sayfasında görüntülenen ClickFix talimatlarına bağlı olarak iki içine çatallar: biri Windows Run iletişim kutusunu kullanan ve kurbanı bir sayfayı bir HTML uygulaması (HTA) olarak kaydetmek için yönlendiren ve daha sonra mshta.exe kullanarak çalıştıran diğeri.
Windows Run iletişim kutusu aracılığıyla tetiklenen yürütme akışı, MSIExec.exe kullanılarak veya uzaktan barındırılan HTA dosyaları aracılığıyla Lumma ve Rhadamanthys Stealers’ın dağıtımında, tasarruflu HTA Red Ransomware’in uygulanması epsilon RAND RANSOwer’ın kurulması ile sonuçlanır.
Epsilon kırmızı fidye yazılımlarını yaymak için kötü amaçlı HTA dosyalarını indirmek için kullanıcıları kandırmak için ClickFix lures kullanımının geçen ay CloudSek tarafından belgelendiğini belirtmek gerekir.
Araştırmacılar, “Meyveden çıkarılan ClickFix sayfası otomatik olarak, kullanıcıların panosuna herhangi bir etkileşim olmadan, kullanıcıların bildiği ve çalıştırmalarına bağlı olarak, kötü niyetli bir komutu herhangi bir etkileşim olmadan kopyalamak için ‘navigator.clipboard.writeText’i otomatik olarak yürütüyor.”
Saldırılar, tarayıcı geliştirici araçlarını kullanarak web sayfalarının incelenmesini önlemek için anti-debugger tekniklerinin kullanımı ile karakterize edilirken, aynı zamanda meşru süreçler kisvesi altında kötü amaçlı kod yürütmek için DLL yan yüklemeye dayanmaktadır.
SelectCaptcha kampanyaları, XMRIG tabanlı bir kripto para madencisi vermeyi gözlemledi, bazı varyantlar madencilik yapılandırmasını kötü amaçlı yazılımda sabit kodlamak yerine bir pastebin URL’sinden getirdi, böylece parametreleri anında ayarlamasına izin veriyor.
Madenci yüklerinin dağıtıldığı durumlarda, saldırganların çekirdek düzeyinde erişim sağlamak ve madencilik verimliliğini artırmak amacıyla CPU kayıtlarıyla etkileşim kurmak için savunmasız bir sürücüyü (“Winring0x64.sys”) düşürdüğü gözlemlenmiştir.
Enfekte olmuş WordPress sitelerinden çoğunluğu Avustralya, Brezilya, İtalya, Kanada, Kolombiya ve İsrail’de, teknoloji, misafirperverlik, yasal/finans, sağlık ve emlak sektörlerinde yer almaktadır.
ShadowCaptcha’nın ortaya koyduğu riskleri azaltmak için kullanıcıları, yanal hareketi önlemek için tıklama kampanyalarını, segment ağlarına dikkat etmelerini ve WordPress sitelerinin çok faktörlü kimlik doğrulama (MFA) korumaları kullanılarak güncel tutulmasını ve sabitlenmesini sağlamak için eğitmek önemlidir.
Araştırmacılar, “ShadowCaptcha, sosyal mühendislik saldırılarının nasıl tam spektrumlu siber operasyonlara dönüştüğünü gösteriyor.” Dedi. “Kullanıcıları yerleşik Windows araçlarını çalıştırmaya ve gizlenmiş komut dosyalarını ve savunmasız sürücüleri katmanlayarak, operatörler gizli kalıcılık kazanır ve veri hırsızlığı, kripto madenciliği veya fidye yazılımı arasında dönebilir.”
Açıklama, Godaddy’nin 2017’den beri aktif olan ve Vextrio Viper gibi kötü amaçlı şemalarla bağlantılı bir trafik dağılımı (veya yön) sistemi olan Yardım TDS’nin evrimini detaylandırdığı gibi geliyor. Yardım TDS, WordPress sitelerine enjekte edilen PHP kodu şablonları ve sonuçta kullanıcıları hedefleme kriterlerine göre kötü amaçlı hedeflere yönlendiren PHP kodu şablonları sağlar.
Güvenlik araştırmacısı Denis Sinegubko, “Operasyon, flört, kripto para birimi ve çekiliş dolandırıcılığı yoluyla geri dönüş para kazanma ile,” Operasyon, tam ekran tarayıcı manipülasyonu ve çıkış önleme tekniklerini kullanan ve çıkış önleme tekniklerini kullanıyor. “Dedi.
Son yıllarda TDS’den yararlanan kayda değer kötü amaçlı yazılım kampanyalarından bazıları Dollyway, Balada enjektör ve DNS TXT yönlendirmeleri yer alıyor. Scam sayfaları, kendi adına, tarayıcıların tam ekran moduna girmeye zorlamak ve hileli uyarıyı görüntülemeye zorlamak ve hatta otomatik güvenlik tarayıcılarını azaltma yapmak için bunları oluşturmadan önce sahte captcha zorluklarına sahiptir.
Yardım TDS operatörlerinin, yönlendirme işlevselliğini sağlamak için 2024 ve Ağustos 2025 arasında “Woocommerce_inputs” olarak bilinen kötü niyetli bir WordPress eklentisi geliştirdikleri söyleniyor. Eklentinin dünya çapında 10.000’den fazla siteye yükleneceği tahmin edilmektedir.
Kötü niyetli eklenti, site sahipleri tarafından algılamadan kaçmak için WooCommerce gibi maskelenir. WordPress sitelerinden çalınan yönetici kimlik bilgileri aracılığıyla ödün verdikten sonra sadece saldırganlar tarafından yüklenir.
Godaddy, “Bu eklenti hem bir trafik para kazanma aracı hem de kimlik bilgisi hasat mekanizması olarak hizmet ediyor ve basit yönlendirme işlevselliğinden hizmet olarak gelişmiş bir kötü amaçlı yazılım teklifine sürekli evrim gösteriyor.” Dedi.
“C2 altyapısı, standartlaştırılmış PHP enjeksiyon şablonları ve tam özellikli kötü niyetli WordPress eklentileri gibi hazır çözümler sağlayarak, yardım TDS, sızmış web sitelerini para kazanmak isteyen siber suçluların girişini düşürdü.”