Campaña “ShadowCaptcha” explota más de 100 sitios WordPress para distribuir malware sofisticado
Introducción
En agosto de 2025, analistas de ciberseguridad israelíes detectaron una campaña de amenazas a gran escala bautizada como “ShadowCaptcha”. Este operativo malicioso ha comprometido ya más de un centenar de sitios WordPress para redirigir el tráfico legítimo hacia páginas fraudulentas que simulan verificaciones CAPTCHA. Detrás de esta fachada, se despliegan cargas útiles que incluyen stealers de información, ransomware y mineros de criptomonedas. El ataque, que emplea técnicas avanzadas de ingeniería social bajo el patrón ClickFix, representa un ejemplo paradigmático de la sofisticación y automatización de las amenazas actuales dirigidas tanto a empresas como a usuarios individuales.
Contexto del Incidente
El vector inicial de ShadowCaptcha son sitios WordPress vulnerables o desatendidos, aprovechando la popularidad de este CMS (que gestiona más del 43% de la web global) y la frecuencia de plugins o themes desactualizados. A partir de agosto de 2025, el CERT de Israel identificó un incremento anómalo de redirecciones desde dichos portales hacia dominios controlados por actores maliciosos. La campaña se caracteriza por su distribución geográfica global, afectando principalmente a Europa occidental, Norteamérica y Latinoamérica, pero con actividad registrada en más de 40 países.
Detalles Técnicos
ShadowCaptcha explota vulnerabilidades conocidas en WordPress y plugins populares, incluyendo fallos de escalada de privilegios (CVE-2024-5637, CVE-2024-6112) y XSS almacenado (CVE-2024-4840), así como la automatización de ataques de fuerza bruta contra credenciales de administrador. Una vez comprometido el sitio, los atacantes insertan JavaScript ofuscado que intercepta el tráfico web y redirige a los usuarios a una página falsa de verificación CAPTCHA.
El flujo de ataque sigue las siguientes técnicas y tácticas del marco MITRE ATT&CK:
– Initial Access: Exploitation of Public-Facing Application (T1190)
– Execution: User Execution via Social Engineering (T1204)
– Defense Evasion: Obfuscated Files or Information (T1027)
– Command and Control: Web Service (T1102)
En la fase de entrega, la página falsa CAPTCHA utiliza el patrón ClickFix: solicita al usuario realizar una supuesta “verificación”, tras la cual se inicia la descarga de archivos maliciosos. Se han identificado diversos payloads, entre ellos los infostealers RedLine y Raccoon (masivamente distribuidos mediante campañas de phishing), variantes del ransomware Phobos y mineros de Monero basados en XMRig. Algunos casos emplean frameworks como Metasploit para obtener persistencia y control remoto.
Indicadores de Compromiso (IoC):
– Dominios de redirección: captcha[.]shadowfix[.]net, verify[.]click-fix[.]io
– Hashes de payloads: 7f3e2a1c7b2e4f1a0a3b8d5c9e3f9f7d (RedLine)
– IPs C2: 185.234.219.101, 37.120.241.87
Impacto y Riesgos
La campaña ShadowCaptcha constituye una amenaza grave por la combinación de robo de credenciales, cifrado de información y minado no autorizado de recursos. Según estimaciones, un 60% de los sitios afectados no detectaron la intrusión hasta que usuarios reportaron actividad inusual. Los infostealers han permitido la exfiltración de millones de credenciales de acceso a plataformas empresariales, mientras que los ransomware han provocado pérdidas económicas superiores a los 2 millones de euros en rescates y costes asociados a la recuperación de sistemas.
Las consecuencias para las víctimas incluyen violaciones de datos protegidos por GDPR, posibles sanciones regulatorias y daños reputacionales. El minado ilícito, por su parte, genera una degradación significativa del rendimiento de servidores y dispositivos comprometidos.
Medidas de Mitigación y Recomendaciones
Para mitigar este tipo de ataques, se recomienda:
1. Actualizar WordPress y todos los plugins/themes a las versiones más recientes, priorizando parches para CVE-2024-5637, CVE-2024-6112 y CVE-2024-4840.
2. Implementar autenticación multifactor (MFA) para cuentas administrativas.
3. Monitorizar logs de acceso y actividad web en busca de redirecciones inusuales o inserciones de JavaScript no autorizado.
4. Utilizar soluciones EDR y WAF que detecten comportamientos anómalos y bloqueen conexiones a IoC conocidos.
5. Educar a usuarios y administradores sobre técnicas de ingeniería social y phishing sofisticado.
6. Realizar auditorías periódicas de seguridad y escaneos de vulnerabilidades.
Opinión de Expertos
Según David Ben-Ami, analista senior del CERT Israel, “ShadowCaptcha demuestra la transición de los atacantes a modelos híbridos: explotan vulnerabilidades técnicas y manipulan el factor humano con ingeniería social avanzada. La automatización y diversificación de los payloads obliga a las organizaciones a reforzar tanto la protección perimetral como la concienciación interna”.
Expertos de la comunidad de Threat Intelligence señalan que la detección temprana y el threat hunting proactivo son esenciales: el uso de honeypots, threat feeds actualizados y análisis de tráfico cifrado se consideran prácticas recomendadas frente a campañas polimórficas como esta.
Implicaciones para Empresas y Usuarios
Empresas con presencia web basada en WordPress, especialmente pymes con recursos limitados, se encuentran en el punto de mira. La obligación de notificar incidentes bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2 implica que una brecha exitosa puede derivar en sanciones económicas y restricciones operativas.
Los usuarios finales, tanto empleados como clientes, pueden ver comprometidos sus datos personales o credenciales de acceso, con riesgos de fraude, suplantación de identidad y acceso no autorizado a sistemas corporativos.
Conclusiones
La campaña ShadowCaptcha subraya la urgencia de adoptar un enfoque holístico en la defensa cibernética: la protección técnica debe ir de la mano de la formación continua y la monitorización avanzada. WordPress, por su ubicuidad, seguirá siendo objetivo prioritario de actores maliciosos. Solo la actualización constante, la segmentación de privilegios y la vigilancia proactiva permitirán reducir el impacto de amenazas como esta en el futuro inmediato.
(Fuente: feeds.feedburner.com)