Noong Agosto 2025, natuklasan ng mga mananaliksik ng Israel National Digital Agency ang patuloy na malawakang cybercrime campaign na gumagamit ng ClickFix technique. Ginagamit ng campaign ang isang pekeng Cloudflare o Google CAPTCHA page upang lokohin ang mga biktima na mag execute ng masasamang commands sa pamamagitan ng mga compromised na WordPress websites.
Ang retrospektibong pagsusuri ay nagpapakita na ang campaign ay aktibo sa loob ng hindi bababa sa nakaraang taon na may potensyal na makaapekto sa libu-libong organisasyon sa buong mundo. Natuklasan sa pagsusuri ang mahigit 100 na compromised na WordPress sites na may mga iniksyun na masasamang JavaScript na nagre-redirect sa attacker-controlled infrastructure, at daan-daang samples ng malware na kumakalat sa iba’t ibang pamilya at mga variant.
Ang campaign, na tinawag namin na ShadowCaptcha, ay nagpapahalo ng social engineering, living-off-the-land binaries (LOLBins), at multi-stage payload delivery upang makakuha at mapanatili ang hawak sa mga target na sistema. Ang pangunahing layunin ng ShadowCaptcha ay ang pagkolekta ng sensitibong impormasyon sa pamamagitan ng credential harvesting at browser data exfiltration, pag-deploy ng cryptocurrency miners upang mag generate ng iligal na kita, at maging ang pagdulot ng ransomware outbreaks. Ang kombinasyon ng mga tactics na ito ay nagpapakita ng kalikasan nito bilang isang oportunistikong financially motivated operation, na nagpapahalo ng social engineering, stealthy persistence, at monetization sa pamamagitan ng data theft at cryptomining.
Kung hindi ma-detect, ang ShadowCaptcha ay maaaring magresulta sa mahabang hindi awtorisadong access sa internal systems, patuloy na cryptomining na nagpapababa ng performance at nagpapataas ng operational costs, at malawakang exfiltration ng sensitibong data na maaaring magdulot ng reputational damage, regulatory penalties, at financial losses. Ang oportunistikong kalikasan ng campaign na ito ay nangangahulugan na anumang organisasyon na may internet-facing ay maaaring maging target, anuman ang laki o sektor.
Dahil sa kalakihan at adaptability nito, inirerekomenda namin ang paglikha ng mga rules para sa pagtukoy at pagpigil sa mga TTPs na detalyado sa ulat na ito, kasama ang awareness training para sa mga end-users upang makilala at iwasan ang mas malawakang ClickFix social engineering technique, upang bawasan ang panganib at maiwasan ang mga susunod na insidente.