Uma campanha de cibercrime em larga escala, identificada como ShadowCaptcha, está explorando sites WordPress comprometidos para distribuir malware, incluindo ransomware, ladrões de informações e mineradores de criptomoedas. Mais de 100 sites já foram afetados em diversos países, incluindo o Brasil.
O ataque começa com a inserção de scripts maliciosos nos sites, que redirecionam visitantes para páginas falsas de verificação CAPTCHA. Nessas páginas, os criminosos usam engenharia social para convencer o usuário a executar comandos maliciosos, seguindo instruções apresentadas como se fossem parte de um processo legítimo. A campanha utiliza a técnica conhecida como ClickFix, que guia a vítima a interagir com recursos nativos do sistema, como o diálogo “Executar” do Windows ou a execução de arquivos HTA (HTML Application), para instalar cargas maliciosas. Os payloads incluem ladrões de informações, como Lumma e Rhadamanthys, que capturam dados sensíveis do navegador e credenciais, além do ransomware Epsilon Red, que criptografa arquivos e exige pagamento para liberação.
Em alguns casos, o malware também instala o minerador XMRig, que utiliza o processamento da máquina para gerar criptomoedas para os atacantes. O código malicioso também copia automaticamente comandos para a área de transferência do usuário, sem interação explícita, aumentando a chance de execução involuntária. Técnicas adicionais incluem ofuscação de JavaScript, bloqueio de ferramentas de desenvolvedor do navegador e uso de bibliotecas legítimas para mascarar a atividade maliciosa. Os criminosos demonstram sofisticação ao empregar mecanismos para alterar remotamente configurações do minerador via Pastebin, além de instalar drivers vulneráveis para obter acesso ao nível de kernel e melhorar o desempenho da mineração. A maioria dos sites comprometidos pertence a empresas dos setores de tecnologia, saúde, jurídico, hospitalidade e imobiliário, com maior incidência na Austrália, Brasil, Itália, Canadá, Colômbia e Israel. As causas exatas da invasão ainda não foram confirmadas, mas há indícios do uso de plugins vulneráveis e credenciais administrativas comprometidas para obter acesso aos painéis do WordPress.
