ShadowCaptcha, bilgi hırsızları, fidye yazılımları ve kripto para madencilerini yaymak için kullanılan gelişmiş bir sosyal mühendislik saldırı zinciridir. İlk kez Ağustos 2025’te İsrail Ulusal Dijital Ajansı tarafından tespit edilen bu kampanya, yerleşik sistem araçları (LOLBins) ve çok aşamalı zararlı yazılım dağıtım tekniklerini birleştirerek hedef sistemlerde kalıcı erişim sağlıyor.
Saldırı Zincirinin İşleyişi
Kötü amaçlı JavaScript kodu enjekte edilmiş ele geçirilmiş WordPress sitelerini ziyaret eden kullanıcılar, sahte Cloudflare veya Google CAPTCHA sayfalarına yönlendiriliyor. Buradan ClickFix talimatlarına göre iki farklı yürütme yolu izleniyor: biri Windows Çalıştır iletişim kutusunu kullanırken, diğeri HTML Uygulaması (HTA) dosyasını indirip mshta.exe ile çalıştırmaya yönlendiriyor.
Windows Çalıştır iletişim kutusu üzerinden tetiklenen akış, MSI yükleyicileri veya uzaktan barındırılan HTA dosyaları aracılığıyla Lumma ve Rhadamanthys bilgi hırsızlarının dağıtılmasına yol açarken, HTA dosyası Epsilon Red fidye yazılımının yüklenmesini sağlıyor.
Teknik Özellikler ve Gizlenme Yöntemleri
Kampanya, tarayıcı geliştirici araçlarıyla sayfa incelemesini engellemek için anti-debugger teknikleri kullanıyor ve kötü amaçlı kodu meşru işlemler kılığında çalıştırmak için DLL yan yükleme yöntemine başvuruyor. Ayrıca, madencilik zararlılarında parametreler Pastebin URL’sinden dinamik olarak çekilebiliyor ve çekirdek düzeyinde erişim için güvenlik açığı bulunan “WinRing0x64.sys” sürücüsü kullanılıyor.
Hedeflenen Sektörler ve Coğrafi Dağılım
Enfekte WordPress sitelerinin çoğunluğu Avustralya, Brezilya, İtalya, Kanada, Kolombiya ve İsrail’de bulunuyor. Etkilenen sektörler arasında teknoloji, konaklama, hukuk/finans, sağlık ve gayrimenkul yer alıyor. Saldırganların, bilinen eklenti açıkları ve ele geçirilmiş kimlik bilgileriyle WordPress portallarına erişim sağladığı düşünülüyor.
Help TDS Trafik Dağıtım Sistemi ve Kötü Amaçlı Eklenti
GoDaddy tarafından açıklanan Help TDS, WordPress sitelerine enjekte edilen PHP kodlarıyla kullanıcıları hedeflenen kötü amaçlı sayfalara yönlendiriyor. Bu sistem, tam ekran tarayıcı manipülasyonu ve sahte güvenlik uyarıları ile teknoloji destek dolandırıcılığı yapıyor. 2024 sonu ile Ağustos 2025 arasında geliştirilen “woocommerce_inputs” adlı kötü amaçlı eklenti, 10.000’den fazla sitede aktif olup kimlik bilgisi toplama ve gelişmiş kaçınma teknikleri içeriyor.
Önlemler ve Tavsiyeler
ShadowCaptcha kaynaklı riskleri azaltmak için kullanıcıların ClickFix kampanyalarına karşı bilinçlendirilmesi, ağların segmentlere ayrılması ve WordPress sitelerinin güncel tutulup çok faktörlü kimlik doğrulama (MFA) ile korunması kritik önem taşıyor. Bu saldırı, sosyal mühendislikten tam kapsamlı siber operasyonlara evrilen tehditlerin karmaşıklığını gözler önüne seriyor.