En agosto de 2025, se ha detectado una campaña cibernética que está explotando más de 100 sitios WordPress comprometidos para redirigir a sus visitantes hacia páginas falsas de verificación CAPTCHA. Esta amenaza ha sido denominada ShadowCaptcha por la Agencia Nacional Digital de Israel.
¿Cómo Funciona ShadowCaptcha?
La campaña comienza cuando un usuario visita un sitio WordPress infectado que ha sido inyectado con código JavaScript malicioso. Este código inicia una cadena de redirecciones que lleva al usuario a una página de CAPTCHA falsa, diseñada para parecer legítima, imitando servicios como Cloudflare o Google.
A partir de aquí, el ataque se bifurca en dos caminos:
- Uno usa el diálogo de ejecución de Windows para lanzar installadores MSI que infectan el sistema con programas maliciosos como los stealers Lumma y Rhadamanthys.
- El otro guía al usuario para que guarde una página como una Aplicación HTML (HTA) y la ejecute con mshta.exe, lo que culmina en la instalación del ransomware Epsilon Red.
Técnicas y Objetivos de ShadowCaptcha
ShadowCaptcha combina técnicas de ingeniería social, el uso de herramientas legítimas de Windows (LOLBins) y múltiples etapas de carga de malware para obtener y mantener acceso en los sistemas afectados.
Los atacantes buscan principalmente:
- Robar credenciales e información sensible desde el navegador.
- Instalar mineros de criptomonedas para generar ganancias ilícitas.
- Desplegar ransomware que puede cifrar y bloquear los archivos de las víctimas.
Una característica destacada es que estos ataques usan comandos que se copian automáticamente al portapapeles del usuario sin su interacción, confiando en que el usuario los pegue y ejecute sin sospechar.
Distribución y Sectores Afectados
Los sitios WordPress comprometidos por ShadowCaptcha se encuentran mayormente en países como Australia, Brasil, Italia, Canadá, Colombia e Israel. Los sectores afectados incluyen tecnología, hostelería, finanzas, salud y bienes raíces.
Medidas de Mitigación Recomendadas
Para protegerse de ShadowCaptcha y amenazas similares, se recomienda:
- Capacitar a los usuarios para identificar campañas de ingeniería social como ClickFix.
- Mantener los sitios WordPress y sus plugins actualizados.
- Implementar autenticación multifactor en los accesos administrativos.
- Segmentar redes para limitar el movimiento lateral de los atacantes.
Evolución del Fraude en WordPress
Además, la campaña ShadowCaptcha se relaciona con otra amenaza llamada Help TDS, un sistema de distribución de tráfico malicioso activo desde 2017, que utiliza plugins falsos para redirigir a los usuarios y robar credenciales, demostrando cómo estos ataques evolucionan para ser cada vez más sofisticados y difíciles de detectar.
Este panorama evidencia la importancia de fortalecer la seguridad en WordPress y la vigilancia constante ante nuevas tácticas de ciberataques que combinan engaños y abusos de herramientas legítimas para lograr sus objetivos maliciosos.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram, además de LinkedIn.
Referencias: https://thehackernews.com/2025/08/shadowcaptcha-exploits-wordpress-sites.html