ShadowCaptcha Khai Thác Các Trang WordPress Để Phát Tán Ransomware, Info-Stealer Và Crypto Miner

Một chiến dịch tấn công quy mô lớn vừa được phát hiện, lợi dụng hơn 100 website WordPress bị xâm nhập để điều hướng người dùng tới các trang xác thực CAPTCHA giả mạo. Các trang này triển khai kỹ thuật lừa đảo xã hội ClickFix, từ đó phát tán mã độc đánh cắp thông tin (Info-Stealer), ransomware và phần mềm đào tiền ảo (Crypto Miner).

Chiến dịch này – lần đầu được phát hiện vào tháng 8/2025 – được Cơ quan Kỹ thuật số Quốc gia Israel đặt tên là ShadowCaptcha.

“ShadowCaptcha kết hợp kỹ thuật social engineering, khai thác Living-off-the-land binaries (LOLBins) và cơ chế tải xuống nhiều tầng (multi-stage payload delivery) để chiếm quyền kiểm soát và duy trì sự hiện diện trong hệ thống mục tiêu,” nhóm nghiên cứu Shimi Cohen, Adi Pick, Idan Beit Yosef, Hila David và Yaniv Goldman cho biết.

Mục tiêu cuối cùng của ShadowCaptcha gồm:

  • Thu thập dữ liệu nhạy cảm qua credential harvestingtrích xuất dữ liệu trình duyệt,

  • Triển khai crypto miner để trục lợi phi pháp,

  • Và phát động ransomware outbreak nhằm mã hóa hệ thống nạn nhân.

Chuỗi tấn công

Người dùng không hề hay biết khi truy cập các website WordPress bị chèn mã JavaScript độc hại. Đoạn mã này khởi tạo chuỗi chuyển hướng, dẫn nạn nhân tới trang CAPTCHA giả mạo (Cloudflare hoặc Google).

Từ đây, cuộc tấn công chia thành hai nhánh tùy theo hướng dẫn của ClickFix:

  1. Nhánh Run dialog (Win+R):

    • Người dùng bị lừa chạy lệnh qua hộp thoại Run.

    • Kết thúc bằng việc triển khai Lumma Stealer hoặc Rhadamanthys Stealer thông qua MSI installer chạy bằng msiexec.exe, hoặc file HTA lưu trữ từ xa chạy bằng mshta.exe.

  2. Nhánh lưu file HTA:

    • Nạn nhân bị hướng dẫn lưu trang thành HTML Application (.hta) và chạy bằng mshta.exe.

    • Quá trình này dẫn đến việc cài đặt Epsilon Red ransomware.

Theo CloudSEK, chiêu thức ClickFix phát tán ransomware qua HTA đã được ghi nhận từ tháng trước.

“Trang ClickFix bị xâm nhập sẽ tự động thực thi JavaScript được làm rối (obfuscated), lợi dụng hàm navigator.clipboard.writeText để copy lệnh độc hại vào clipboard. Khi người dùng dán và chạy lệnh, mã độc được triển khai mà họ không hề hay biết,” các nhà nghiên cứu cảnh báo.

Kỹ thuật nâng cao

  • Anti-debugging: Ngăn chặn kiểm tra bằng công cụ developer tool trên trình duyệt.

  • DLL Side-loading: Nạp mã độc dưới dạng tiến trình hợp pháp.

  • Crypto Miner: Một số biến thể ShadowCaptcha triển khai XMRig miner, với cấu hình tải từ Pastebin URL thay vì hard-code, cho phép điều chỉnh động.

  • Privilege Escalation: Kẻ tấn công cài driver dễ bị khai thác WinRing0x64.sys để truy cập mức kernel, tối ưu hiệu suất đào coin.

Quy mô và phạm vi

Hơn 100 website WordPress bị xâm nhập, tập trung tại Úc, Brazil, Ý, Canada, Colombia và Israel. Các nạn nhân trải rộng nhiều lĩnh vực: công nghệ, khách sạn, tài chính-pháp lý, y tế và bất động sản.

Phương thức xâm nhập chưa được xác định chính xác, nhưng nhiều khả năng:

  • Lợi dụng lỗ hổng trong các plugin phổ biến.

  • Đăng nhập trái phép bằng tài khoản quản trị WordPress bị lộ/đánh cắp.

Biện pháp phòng vệ

Để giảm thiểu rủi ro từ ShadowCaptcha, chuyên gia khuyến nghị:

  • Đào tạo nhân viên nhận biết chiến dịch ClickFix và kỹ thuật lừa đảo xã hội.

  • Thực hiện network segmentation để hạn chế lateral movement.

  • Cập nhật WordPress và plugin thường xuyên, bật MFA cho tài khoản quản trị.

“ShadowCaptcha minh chứng cho sự tiến hóa của các chiến dịch lừa đảo xã hội thành hoạt động tấn công toàn diện (full-spectrum cyber operations). Bằng cách lợi dụng công cụ sẵn có trong Windows, kịch bản script được làm rối và driver dễ bị khai thác, kẻ tấn công duy trì khả năng ẩn mình, chuyển đổi linh hoạt giữa đánh cắp dữ liệu, đào coin hoặc phát tán ransomware,” nhóm nghiên cứu nhận định.

Liên quan – Hệ thống Help TDS

Phát hiện về ShadowCaptcha xuất hiện song song với báo cáo của GoDaddy về sự phát triển của Help TDS – một hệ thống traffic distribution system (TDS) hoạt động từ 2017, liên quan tới nhiều chiến dịch độc hại như VexTrio Viper.

Help TDS cung cấp template PHP cho đối tác, tiêm trực tiếp vào WordPress để điều hướng người dùng theo tiêu chí định sẵn, phục vụ:

  • Lừa đảo tech support (giả mạo cảnh báo bảo mật Windows, khóa màn hình trình duyệt),

  • Gian lận tiền điện tử, hẹn hò, xổ số.

Trong giai đoạn 2024–2025, Help TDS còn phát triển plugin WordPress giả mạo mang tên woocommerce_inputs với hơn 10.000 lượt cài đặt, dùng để:

  • Redirect độc hại,

  • Thu thập thông tin xác thực,

  • Tránh né phát hiện bằng kỹ thuật advanced evasion.

GoDaddy đánh giá:

“Plugin độc hại này vừa là công cụ kiếm tiền qua redirect, vừa là cơ chế đánh cắp thông tin. Help TDS đã tiến hóa từ một redirect đơn giản thành một dịch vụ malware-as-a-service hoàn chỉnh, cung cấp hạ tầng C2, template PHP chuẩn hóa và plugin WordPress giả mạo.”

Chúng tôi, các chuyên gia về cyber security luôn sẵn sàng đồng hành cùng doanh nghiệp bạn

Chúng tôi tập trung vào các giải pháp Chống mã độc, đặc biệt là dòng mã độc mã hóa dữ liệu tống tiền và giải pháp Chống thất thoát dữ liệu (DLP).

Liên hệ ngay