ShadowCaptcha: Allarme ransomware e furti su WordPress

News
Visite: 201

Negli ultimi tempi è stata individuata una campagna di cyber attacchi su larga scala che sfrutta oltre 100 siti WordPress compromessi per diffondere ransomware, info stealer e cryptominer. Questa campagna, identificata con il nome ShadowCaptcha, è attiva da agosto 2025 e rappresenta una minaccia concreta per la sicurezza informatica globale, coinvolgendo siti di vari settori tra cui tecnologia, sanità, finanza e ospitalità in paesi come Italia, Australia, Brasile, Canada, Colombia e Israele.

Meccanismo di attacco

Il meccanismo di attacco parte con l'infezione di siti WordPress tramite codice JavaScript malevolo che reindirizza gli utenti verso pagine CAPTCHA fasulle, spesso camuffate da Cloudflare o Google. Qui entra in gioco la tecnica di social engineering ClickFix, che induce la vittima a seguire istruzioni specifiche per eseguire comandi pericolosi sul proprio sistema. In particolare, viene chiesto di utilizzare la finestra Esegui di Windows o di salvare e aprire un file HTA dannoso tramite mshta.exe.

Attraverso questi passaggi, gli attaccanti riescono a installare info stealer come Lumma e Rhadamanthys, oppure ransomware come Epsilon Red, e in alcuni casi anche cryptominer basati su XMRig. Per aumentare l’efficienza del mining, viene utilizzato anche il caricamento di driver vulnerabili come WinRing0x64.sys, consentendo accesso a livello kernel e ottimizzando il processo di mining.

Tecniche innovative utilizzate

L’innovazione di ShadowCaptcha risiede nella combinazione di social engineering, l’uso di LOLBins (Living-off-the-land Binaries), tecniche anti-debugger e side-loading di DLL malevoli. Questo mix rende l’attacco furtivo e difficile da individuare tramite strumenti di analisi tradizionali.

Compromissione dei siti WordPress e plugin dannosi

Non è ancora chiaro come avvenga la compromissione iniziale dei siti WordPress, ma si ipotizza l’utilizzo di vulnerabilità note nei plugin o l’accesso tramite credenziali amministrative rubate. Parallelamente, la diffusione di plugin dannosi come “woocommerce_inputs” collegati ad altre campagne (come Help TDS) mostra la tendenza dei cybercriminali a fornire strumenti sempre più avanzati per monetizzare siti compromessi attraverso reindirizzamenti, furto credenziali e frodi.

Raccomandazioni per la sicurezza

Per limitare i rischi di ShadowCaptcha, è fondamentale mantenere WordPress aggiornato, utilizzare autenticazione a più fattori e formare gli utenti a riconoscere tentativi di social engineering legati a ClickFix e CAPTCHA sospetti.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta