ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners

ShadowCaptcha : Une Campagne d’Attaque Sophistiquée Exploitant les Sites WordPress

Une campagne de cybercriminalité d’envergure, baptisée ShadowCaptcha, cible depuis août 2025 des sites WordPress compromis pour rediriger les visiteurs vers de fausses pages de vérification CAPTCHA. Ces pages utilisent des tactiques d’ingénierie sociale, notamment la méthode “ClickFix”, pour distribuer divers types de malwares, incluant des voleurs d’informations, des ransomwares et des mineurs de cryptomonnaies. Les objectifs principaux sont la collecte d’informations sensibles, la génération de profits illicites par minage de cryptomonnaies et le déploiement de ransomwares.

Les attaques débutent par l’injection de code JavaScript malveillant sur des sites WordPress, provoquant des redirections vers de fausses pages CAPTCHA (Cloudflare ou Google). La chaîne d’attaque se divise ensuite en deux branches : une utilisant la boîte de dialogue “Exécuter” de Windows, et l’autre incitant l’utilisateur à enregistrer une page en tant qu’application HTML (HTA) pour l’exécuter via mshta.exe. Ces méthodes aboutissent au déploiement de logiciels malveillants comme les voleurs Lumma et Rhadamanthys via des installateurs MSI ou des fichiers HTA hébergés à distance, ou encore au déploiement du ransomware Epsilon Red.

Des techniques telles que les anti-débogueurs sont employées pour déjouer l’analyse des pages web, et le DLL side-loading permet l’exécution de code malveillant sous le couvert de processus légitimes. Certaines variantes distribuent des mineurs de cryptomonnaies basés sur XMRig, récupérant leur configuration depuis Pastebin pour une flexibilité accrue. Dans certains cas, un driver vulnérable (“WinRing0x64.sys”) est installé pour obtenir un accès au niveau du noyau et optimiser le minage.

Les sites WordPress compromis se situent principalement en Australie, Brésil, Italie, Canada, Colombie et Israël, couvrant divers secteurs. L’accès aux sites serait obtenu via des exploits de plugins WordPress connus ou par l’utilisation du portail WordPress avec des identifiants compromis.

Points clés :

• Exploitation de sites WordPress pour rediriger vers de fausses pages CAPTCHA.
• Utilisation de la technique “ClickFix” pour distribuer des malwares.
• Distribution de voleurs d’informations, ransomwares et mineurs de cryptomonnaies.
• Utilisation de JavaScript malveillant et de techniques d’évasion avancées (anti-débogueurs, DLL side-loading).
• Installation de drivers vulnérables pour un accès privilégié.
• Diversification des objectifs : vol de données, minage de cryptomonnaies, rançongiciels.

Vulnérabilités (non spécifiées directement avec des CVE dans l’article) :

• Potentiellement, des vulnérabilités dans les plugins WordPress utilisés pour la compromission initiale des sites.
• L’utilisation de scripts obfusqués et de drivers vulnérables (“WinRing0x64.sys”) pour l’escalade de privilèges et la persistance.

Recommandations :

• Former les utilisateurs à reconnaître les campagnes d’ingénierie sociale comme ClickFix.
• Segmenter les réseaux pour limiter les mouvements latéraux des attaquants.
• Maintenir les sites WordPress et leurs plugins à jour.
• Sécuriser les accès aux sites WordPress avec l’authentification multi-facteurs (MFA).

Source