رصد باحثون في الأمن السيبراني حملة واسعة النطاق تستغل أكثر من 100 موقع ووردبريس مخترق، لتحويل زوارها إلى صفحات تحقق مزيفة بتقنية CAPTCHA. هذه الصفحات المزيفة تعتمد على أسلوب الهندسة الاجتماعية المعروف باسم ClickFix، وتُستخدم لتوزيع برمجيات خبيثة تشمل برامج سرقة البيانات، برمجيات الفدية، وأدوات تعدين العملات الرقمية.
بداية الهجوم عبر مواقع ووردبريس مخترقة
تم اكتشاف الحملة لأول مرة في أغسطس 2025 من قبل الوكالة الوطنية الرقمية الإسرائيلية، وأُطلق عليها اسم ShadowCaptcha. يعتمد الهجوم على إدخال شيفرة JavaScript خبيثة داخل مواقع ووردبريس المصابة، ما يؤدي إلى إعادة توجيه المستخدمين نحو صفحات تحقق مزيفة تُحاكي خدمات Cloudflare أو Google CAPTCHA.
من هناك، ينقسم مسار الهجوم إلى فرعين وفقًا لتعليمات ClickFix المعروضة:
-
الأول يستخدم مربع تشغيل Windows Run لتنفيذ أوامر خبيثة
-
الثاني يوجه المستخدم إلى حفظ الصفحة كملف تطبيق HTML (HTA) وتشغيله عبر أداة mshta.exe
تحميل برمجيات سرقة البيانات والفدية
المسار الأول يؤدي إلى تنزيل برمجيات خبيثة مثل Lumma وRhadamanthys عبر مثبتات MSI يتم تشغيلها بواسطة msiexec.exe، أو عبر ملفات HTA يتم تشغيلها عن بُعد. أما المسار الثاني، فينتهي بتثبيت برمجية الفدية Epsilon Red.
وبحسب الباحثين، فإن صفحات ClickFix المزيفة تقوم تلقائيًا بنسخ أوامر ضارة إلى الحافظة clipboard الخاصة بالمستخدم، بحيث يتم لصقها وتشغيلها دون وعي.
تقنيات إخفاء متقدمة وتعدين للعملات الرقمية
تعتمد الحملة على تقنيات مضادة لفحص الصفحات عبر أدوات المطور في المتصفح، إضافة إلى DLL Side-Loading لتشغيل الشيفرات الخبيثة داخل عمليات تبدو شرعية.
وقد رُصدت بعض النسخ من ShadowCaptcha وهي تقوم بتنزيل برنامج تعدين يعتمد على XMRig، حيث يحصل أحيانًا على إعدادات التعدين من روابط Pastebin بدلًا من إدراجها مباشرة في الشيفرة، مما يمنح المهاجمين مرونة لتغيير الإعدادات في أي وقت. وفي بعض الحالات، يستغل المهاجمون برامج تشغيل ضعيفة مثل WinRing0x64.sys للوصول إلى مستوى النواة وتحسين كفاءة التعدين.
استهداف قطاعات متعددة حول العالم
معظم مواقع ووردبريس المخترقة تتركز في أستراليا، البرازيل، إيطاليا، كندا، كولومبيا، وإسرائيل، وتشمل قطاعات التكنولوجيا، الضيافة، القانون والمالية، الرعاية الصحية، والعقارات.
ويُرجَّح أن المخترقين استغلوا ثغرات معروفة في إضافات ووردبريس، أو اعتمدوا على بيانات اعتماد مسروقة للوصول إلى لوحات التحكم.
تطور هجمات Help TDS المرتبطة بووردبريس
تزامن الكشف عن ShadowCaptcha مع إعلان شركة GoDaddy عن تطور نظام توزيع حركة المرور الخبيث المعروف باسم Help TDS، النشط منذ 2017، والمرتبط بحملات مثل VexTrio Viper.
يقدم Help TDS لشركائه قوالب PHP يتم زرعها في مواقع ووردبريس لتوجيه المستخدمين إلى وجهات ضارة. كما طوّر المهاجمون إضافة خبيثة باسم woocommerce_inputs بين أواخر 2024 وأغسطس 2025، والتي يُعتقد أنها مثبّتة على أكثر من 10,000 موقع حول العالم.
تتنكر الإضافة على أنها جزء من WooCommerce، لكنها في الحقيقة تُستخدم لتحقيق الدخل من حركة المرور المسروقة، وجمع بيانات اعتماد المستخدمين، مع خصائص متطورة مثل التصفية الجغرافية وتقنيات التمويه.
توصيات للحماية من ShadowCaptcha
ينصح الباحثون المؤسسات والمستخدمين بالخطوات التالية:
-
تدريب المستخدمين على التعرف إلى حملات ClickFix
-
تقسيم الشبكات لمنع حركة جانبية للهجمات
-
تحديث مواقع ووردبريس بانتظام واستخدام المصادقة متعددة العوامل (MFA)
وأكد فريق البحث أن ShadowCaptcha يوضح كيف تطورت هجمات الهندسة الاجتماعية إلى عمليات سيبرانية شاملة، تجمع بين سرقة البيانات، التعدين غير المشروع، وهجمات الفدية.
