Pastebin как центр управления и уязвимый драйвер ядра. Технические хитрости операторов ShadowCaptcha

В августе этого года специалисты Национального цифрового агентства Израиля зафиксировали масштабную кампанию ShadowCaptcha, направленную на компрометацию пользователей через более чем сотню взломанных сайтов WordPress. Сайты были заражены вредоносными скриптами, которые перенаправляли посетителей на поддельные страницы с проверкой CAPTCHA, маскирующиеся под сервисы Google и Cloudflare. Эти страницы использовали технику ClickFix , заставляя жертв выполнять команды в Windows, что открывало путь к установке вредоносного ПО.

Исследователи отмечают, что ShadowCaptcha сочетает приёмы социальной инженерии, использование встроенных системных утилит Windows и многоступенчатую загрузку вредоносных компонентов. Главными целями операторов кампании становятся кража учётных данных и браузерной информации, внедрение майнеров криптовалют для нелегального дохода, а также распространение вымогательского ПО. Заражение начиналось с двух сценариев: либо через запуск диалога «Выполнить» с последующим использованием msiexec.exe и mshta.exe для доставки Lumma и Rhadamanthys, либо через сохранение вредоносного файла в формате HTA, который приводил к установке вымогателя Epsilon Red. Подобные трюки с ClickFix и HTA ранее уже фиксировались исследователями CloudSEK.

На поддельных CAPTCHA-страницах автоматически выполнялся зашифрованный JavaScript, который с помощью функции navigator.clipboard.writeText копировал вредоносные команды прямо в буфер обмена, после чего пользователь мог случайно их вставить и запустить. Чтобы скрыть активность, применялись механизмы антиотладки, блокирующие работу инструментов разработчика в браузере, а также техника подмены DLL-библиотек , позволявшая запускать код под видом легитимных процессов.

В отдельных случаях ShadowCaptcha доставлял XMRig-майнер, получавший настройки не из встроенного кода, а динамически с Pastebin, что давало злоумышленникам возможность менять параметры без обновления бинарников. Для повышения эффективности добычи криптовалюты на инфицированных системах использовался уязвимый драйвер WinRing0x64.sys, обеспечивавший доступ к регистрам процессора на уровне ядра.

Большинство заражённых сайтов располагалось в Австралии, Бразилии, Италии, Канаде, Колумбии и Израиле. Жертвами становились компании из самых разных сфер — от технологического и медицинского сектора до гостиничного бизнеса, юриспруденции и недвижимости. Точный способ компрометации сайтов неизвестен, но, по словам исследователей, существует средняя степень уверенности, что злоумышленники применяли набор эксплойтов для уязвимых плагинов, а также получали доступ через учётные записи администраторов.

Для снижения рисков специалисты советуют организациям обучать сотрудников распознавать кампании ClickFix, изолировать сети для ограничения распространения вредоносных процессов и своевременно обновлять WordPress, включая защиту административных учётных записей с помощью многофакторной аутентификации.

Исследователи подчёркивают, что ShadowCaptcha демонстрирует эволюцию социальной инженерии в сторону многоуровневых атак, где сочетаются встроенные утилиты Windows, запутанные скрипты и эксплуатация уязвимых драйверов.