ShadowCaptcha khai thác WordPress phát tán phần mềm tống tiền, đánh cắp dữ liệu

[Starlink]

Một chiến dịch quy mô lớn mới đã được phát hiện khai thác hơn 100 trang web WordPress bị xâm phạm để hướng người truy cập đến các trang xác minh CAPTCHA giả mạo sử dụng chiến thuật kỹ thuật xã hội ClickFix để cung cấp phần mềm đánh cắp thông tin, phần mềm tống tiền và khai thác tiền điện tử.

Chiến dịch tội phạm mạng quy mô lớn này, lần đầu tiên được phát hiện vào tháng 8 năm 2025, được Cơ quan kỹ thuật số quốc gia Israel đặt tên mã là ShadowCaptcha.

Các nhà nghiên cứu Shimi Cohen, Adi Pick, Idan Beit Yosef, Hila David và Yaniv Goldman cho biết: "Chiến dịch [...] kết hợp kỹ thuật xã hội, nhị phân sống ngoài đất liền (LOLBins) và phân phối tải trọng nhiều giai đoạn để đạt được và duy trì chỗ đứng trong các hệ thống mục tiêu".

"Mục tiêu cuối cùng của ShadowCaptcha là thu thập thông tin nhạy cảm thông qua việc thu thập thông tin đăng nhập và đánh cắp dữ liệu trình duyệt, triển khai chương trình đào tiền điện tử để tạo ra lợi nhuận bất hợp pháp và thậm chí gây ra các đợt bùng phát phần mềm tống tiền."

Các cuộc tấn công bắt đầu khi người dùng không nghi ngờ gì khi truy cập vào một trang web WordPress bị xâm phạm, trang web này đã bị tiêm mã JavaScript độc hại, có chức năng khởi tạo chuỗi chuyển hướng đưa họ đến trang Cloudflare hoặc Google CAPTCHA giả mạo.

Từ đó, chuỗi tấn công chia thành hai nhánh, tùy thuộc vào hướng dẫn ClickFix hiển thị trên trang web: Một nhánh sử dụng hộp thoại Chạy của Windows và một nhánh khác hướng dẫn nạn nhân lưu trang dưới dạng Ứng dụng HTML (HTA) rồi chạy trang đó bằng mshta.exe.

Luồng thực thi được kích hoạt thông qua hộp thoại Chạy của Windows sẽ dẫn đến việc triển khai các trình đánh cắp Lumma và Rhadamanthys thông qua trình cài đặt MSI được khởi chạy bằng msiexec.exe hoặc thông qua các tệp HTA được lưu trữ từ xa chạy bằng mshta.exe, trong khi việc thực thi tải trọng HTA đã lưu sẽ dẫn đến việc cài đặt ransomware Epsilon Red.

Điều đáng chú ý là việc sử dụng mồi nhử ClickFix để lừa người dùng tải xuống các tệp HTA độc hại nhằm phát tán phần mềm tống tiền Epsilon Red đã được CloudSEK ghi nhận vào tháng trước.

Các nhà nghiên cứu cho biết: "Trang ClickFix bị xâm phạm sẽ tự động thực thi JavaScript bị che giấu sử dụng 'navigator.clipboard.writeText' để sao chép lệnh độc hại vào bảng tạm của người dùng mà không cần bất kỳ tương tác nào, dựa vào việc người dùng vô tình dán và chạy lệnh đó".

Các cuộc tấn công này được đặc trưng bởi việc sử dụng các kỹ thuật chống gỡ lỗi để ngăn chặn việc kiểm tra các trang web bằng các công cụ dành cho nhà phát triển trình duyệt, đồng thời dựa vào việc tải DLL để thực thi mã độc hại dưới dạng các quy trình hợp pháp.

Một số chiến dịch ShadowCaptcha đã quan sát thấy việc cung cấp trình khai thác tiền điện tử dựa trên XMRig, với một số biến thể lấy cấu hình khai thác từ URL Pastebin thay vì mã hóa cứng trong phần mềm độc hại, do đó cho phép chúng điều chỉnh các thông số ngay lập tức.

Trong trường hợp các tải trọng khai thác được triển khai, kẻ tấn công cũng được quan sát thấy đã thả trình điều khiển dễ bị tấn công ("WinRing0x64.sys") để đạt được quyền truy cập cấp độ hạt nhân và tương tác với các thanh ghi CPU nhằm mục đích cải thiện hiệu quả khai thác.

Trong số các trang web WordPress bị nhiễm, phần lớn nằm ở Úc, Brazil, Ý, Canada, Colombia và Israel, bao gồm các lĩnh vực công nghệ, khách sạn, pháp lý/tài chính, chăm sóc sức khỏe và bất động sản.

Hiện vẫn chưa rõ chính xác các trang web WordPress này bị xâm nhập như thế nào. Tuy nhiên, Goldman nói với The Hacker News rằng có khả năng tin tặc đã truy cập được thông qua nhiều lỗ hổng đã biết trong nhiều plugin khác nhau, và trong một số trường hợp, sử dụng cổng thông tin WordPress với thông tin đăng nhập đã bị xâm phạm.

Để giảm thiểu rủi ro do ShadowCaptcha gây ra, điều cần thiết là phải đào tạo người dùng cảnh giác với các chiến dịch ClickFix, phân đoạn mạng để ngăn chặn chuyển động ngang và đảm bảo các trang web WordPress được cập nhật và bảo mật bằng biện pháp bảo vệ xác thực đa yếu tố (MFA).

"ShadowCaptcha cho thấy các cuộc tấn công kỹ thuật xã hội đã phát triển thành các hoạt động mạng toàn diện như thế nào", các nhà nghiên cứu cho biết. "Bằng cách lừa người dùng chạy các công cụ Windows tích hợp sẵn và chèn các tập lệnh bị che giấu cùng các trình điều khiển dễ bị tấn công, kẻ tấn công có được sự tồn tại bí mật và có thể chuyển đổi giữa các hoạt động đánh cắp dữ liệu, khai thác tiền điện tử hoặc ransomware."

Tiết lộ này được đưa ra trong bối cảnh GoDaddy đang trình bày chi tiết về sự phát triển của Help TDS, một hệ thống phân phối (hoặc định hướng) lưu lượng truy cập đã hoạt động từ năm 2017 và đã bị cáo buộc liên quan đến các chương trình độc hại như VexTrio Viper. Help TDS cung cấp cho các đối tác và chi nhánh các mẫu mã PHP được chèn vào các trang web WordPress, cuối cùng dẫn người dùng đến các đích độc hại dựa trên tiêu chí nhắm mục tiêu.

Nhà nghiên cứu bảo mật Denis Sinegubko cho biết : "Hoạt động này chuyên thực hiện các vụ lừa đảo hỗ trợ kỹ thuật bằng cách sử dụng thao tác trình duyệt toàn màn hình và các kỹ thuật ngăn chặn thoát để bẫy nạn nhân vào các trang cảnh báo bảo mật Microsoft Windows gian lận, với mục đích kiếm tiền thông qua các trò lừa đảo hẹn hò, tiền điện tử và xổ số".

Một số chiến dịch phần mềm độc hại đáng chú ý đã lợi dụng Help TDS trong những năm gần đây bao gồm DollyWay, Balada Injector và chuyển hướng DNS TXT. Về phần mình, các trang lừa đảo sử dụng JavaScript để buộc trình duyệt chuyển sang chế độ toàn màn hình và hiển thị cảnh báo gian lận, thậm chí còn hiển thị các yêu cầu CAPTCHA giả mạo trước khi hiển thị chúng nhằm mục đích tránh các máy quét bảo mật tự động.

Các nhà điều hành TDS được cho là đã phát triển một plugin WordPress độc hại có tên "woocommerce_inputs" từ cuối năm 2024 đến tháng 8 năm 2025 để kích hoạt chức năng chuyển hướng, đồng thời liên tục bổ sung các tính năng thu thập thông tin đăng nhập, lọc theo địa lý và các kỹ thuật né tránh nâng cao. Plugin này ước tính đã được cài đặt trên hơn 10.000 trang web trên toàn thế giới.

Plugin độc hại này ngụy trang thành WooCommerce để tránh bị chủ sở hữu trang web phát hiện. Nó chỉ được cài đặt bởi kẻ tấn công sau khi xâm nhập vào các trang web WordPress thông qua thông tin đăng nhập quản trị viên bị đánh cắp.

GoDaddy cho biết: "Plugin này vừa đóng vai trò là công cụ kiếm tiền từ lưu lượng truy cập vừa là cơ chế thu thập thông tin xác thực, thể hiện sự phát triển liên tục từ chức năng chuyển hướng đơn giản đến dịch vụ diệt phần mềm độc hại phức tạp".

"Bằng cách cung cấp các giải pháp sẵn có bao gồm cơ sở hạ tầng C2, mẫu chèn PHP chuẩn hóa và các plugin WordPress độc hại có đầy đủ tính năng, Help TDS đã giảm bớt rào cản gia nhập đối với tội phạm mạng muốn kiếm tiền từ các trang web bị xâm nhập."