Negli ultimi tempi è stata individuata una campagna di cyber attacchi su larga scala che sfrutta oltre 100 siti WordPress compromessi per diffondere ransomware, info stealer e cryptominer. Questa campagna, identificata con il nome ShadowCaptcha, è attiva da agosto 2025 e rappresenta una minaccia concreta per la sicurezza informatica globale, coinvolgendo siti di vari settori tra cui tecnologia, sanità, finanza e ospitalità in paesi come Italia, Australia, Brasile, Canada, Colombia e Israele.
Meccanismo di attacco
Il meccanismo di attacco parte con l'infezione di siti WordPress tramite codice JavaScript malevolo che reindirizza gli utenti verso pagine CAPTCHA fasulle, spesso camuffate da Cloudflare o Google. Qui entra in gioco la tecnica di social engineering ClickFix, che induce la vittima a seguire istruzioni specifiche per eseguire comandi pericolosi sul proprio sistema. In particolare, viene chiesto di utilizzare la finestra Esegui di Windows o di salvare e aprire un file HTA dannoso tramite mshta.exe.
Attraverso questi passaggi, gli attaccanti riescono a installare info stealer come Lumma e Rhadamanthys, oppure ransomware come Epsilon Red, e in alcuni casi anche cryptominer basati su XMRig. Per aumentare l’efficienza del mining, viene utilizzato anche il caricamento di driver vulnerabili come WinRing0x64.sys, consentendo accesso a livello kernel e ottimizzando il processo di mining.
Tecniche innovative utilizzate
L’innovazione di ShadowCaptcha risiede nella combinazione di social engineering, l’uso di LOLBins (Living-off-the-land Binaries), tecniche anti-debugger e side-loading di DLL malevoli. Questo mix rende l’attacco furtivo e difficile da individuare tramite strumenti di analisi tradizionali.
Compromissione dei siti WordPress e plugin dannosi
Non è ancora chiaro come avvenga la compromissione iniziale dei siti WordPress, ma si ipotizza l’utilizzo di vulnerabilità note nei plugin o l’accesso tramite credenziali amministrative rubate. Parallelamente, la diffusione di plugin dannosi come “woocommerce_inputs” collegati ad altre campagne (come Help TDS) mostra la tendenza dei cybercriminali a fornire strumenti sempre più avanzati per monetizzare siti compromessi attraverso reindirizzamenti, furto credenziali e frodi.
Raccomandazioni per la sicurezza
Per limitare i rischi di ShadowCaptcha, è fondamentale mantenere WordPress aggiornato, utilizzare autenticazione a più fattori e formare gli utenti a riconoscere tentativi di social engineering legati a ClickFix e CAPTCHA sospetti.