“ShadowCaptcha” olarak adlandırılan sofistike bir küresel siber suç kampanyası, dünya çapında kuruluşlar için önemli bir tehdit olarak ortaya çıktı ve kurbanları kötü niyetli komutlar yürütmek için sahte Google ve Cloudflare captcha sayfalarından yararlandı.
Ağustos 2025’te İsrail Ulusal Dijital Ajansı’ndaki araştırmacılar tarafından keşfedilen bu büyük ölçekli operasyon, en az bir yıl boyunca aktiftir ve çok aşamalı kötü amaçlı yazılım yükleri sunmak için yüzlerce uzlaşmış WordPress web sitesinden yararlanmaktadır.
Kampanya, ClickFix olarak bilinen aldatıcı bir teknik kullanıyor, burada saldırganlar kötü niyetli JavaScript’i, kullanıcıları sahte Captcha doğrulama sayfalarını barındıran saldırgan kontrollü altyapıya yönlendiren güvenliği ihlal edilmiş WordPress sitelerine enjekte ediyor.
Bu ikna edici tasarlanmış tasarlanmış sayfalar, meşru bulutflare veya Google güvenlik kontrollerini taklit ederek, şüphesiz kullanıcıları bir güvenlik doğrulama sürecini tamamlama kisvesi altında PowerShell komutlarını kopyalamaya ve yürütmelerini istemektedir.
Retrospektif analiz, ilk enfeksiyon vektörleri ve birden fazla aileyi ve varyantları kapsayan yüzlerce kötü amaçlı yazılım örneği olarak hizmet veren 100’den fazla tehlikeye atılan WordPress sitesi ile kampanyanın kapsamlı erişimini ortaya koydu.
Gov.li analistleri, büyüklük veya endüstri dikeyine bakılmaksızın tüm sektörlerdeki organizasyonları hedefleyen kampanyanın fırsatçı doğasını belirledi.
Saldırı, tespitten kaçınırken kalıcılığı korumak için sosyal mühendisliği karara yaşamın ikili dosyaları (Lolbins) ile birleştiren sofistike bir çok aşamalı dağıtım mekanizması yoluyla çalışır.
Mağdurlar gizlenmiş kötü niyetli komutları yürüttükten sonra, kötü amaçlı yazılım hedeflenen sistemlerde bir dayanak oluşturur ve birincil hedefleri ile ilerler.
Çok yönlü para kazanma stratejisi
ShadowCaptcha’nın enfeksiyon mekanizması, para kazanma yaklaşımında dikkate değer çok yönlülük göstermektedir.
Kötü amaçlı yazılım üç birincil gelir akışına odaklanmaktadır: kimlik hırsızlığı için kimlik bilgisi hasat ve tarayıcı verileri, enfekte sistemlerden yasadışı kar elde etmek için kripto para madencilerinin konuşlandırılması ve derhal finansal kazanç için potansiyel fidye yazılımı dağıtımı.
.webp)
Bu çok yönlü strateji, saldırganların yatırım getirisini en üst düzeye çıkarırken, uzlaşmış ağlara sürekli yetkisiz erişim yaratıyor.
Kampanyanın yükünü sistem özelliklerine ve güvenlik duruşuna göre uyarlama yeteneği, değerli kurumsal kaynaklara kalıcı erişimi sürdürürken tespitten kaçınmak için farklı saldırı modları arasında dönebileceğinden, özellikle tehlikeli hale getirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.