ShadowCaptcha: Kapsamlı Bir Siber Suç Kampanyası
Son dönemde, WordPress tabanlı web sitelerini hedef alan büyük ölçekli bir siber suç kampanyası dikkat çekiyor. Bu kampanya, kullanıcıları yanlış CAPTCHA doğrulama sayfalarına yönlendirerek, bilgi hırsızlığı, fidye yazılımları ve kripto para madenciliği işlevleri yüklemek için ClickFix sosyal mühendislik taktiğini kullanıyor. İsrail Ulusal Dijital Ajansı, bu kampanyayı ShadowCaptcha olarak adlandırdı.
Kampanyanın Gerçekleştiği Usuller
ShadowCaptcha kampanyası, ilk kez Ağustos 2025’te tespit edildi. Araştırmacılar, saldırıların, kullanıcıları zararlı JavaScript kodlarıyla iç içe geçmiş bir WordPress web sitesine yönlendiren bir sistemin parçası olarak yürütüldüğünü belirtiyor. Bu kodlar, kullanıcılara sahte bir Cloudflare veya Google CAPTCHA sayfasına yönlendirme zincirini başlatıyor.
Bu aşamadan sonra, saldırı iki şekilde devam etmekte: Birincisi, Windows’un Çalıştır diyalog kutusunu kullanırken; diğeri ise kullanıcıyı bir HTML Uygulaması (HTA) sayfası indirmeye yönlendirerek çalışmakta ve ardından bunu mshta.exe ile çalıştırmakta.
Ransomware ve Bilgi Hırsızlığı
Windows Çalıştır diyalog kutusu aracılığıyla tetiklenen akış, Lumma ve Rhadamanthys adlı bilgi hırsızlarını yükleyen yollarla sonuçlanıyor. Ayrıca, Epsilon Red fidye yazılımı, kaydedilen HTA yüklemesi aracılığıyla dağıtılmakta. CloudSEK tarafından raporlananlara göre, kullanıcıları HTA dosyası indirmeye ikna etmek için kullanılan ClickFix tuzakları kullanılarak, bu tür saldırılar kolaylıkla gerçekleştirilebiliyor.
Araştırmacılar, saldırıların, tarayıcı geliştirici araçlarıyla yapılan incelemeleri önlemek için anti-debugger teknikleri kullanarak karakterize edildiğini belirtiyor. Ayrıca, zararlı kodları meşru işlemlerin kılığına girmiş DLL side-loading aracılığıyla yürütmek için çeşitli teknikler uygulanmakta.
Kripto Para Madenciliği ve Elde Edilen Sonuçlar
Belirli ShadowCaptcha kampanyalarının, XMRig tabanlı bir kripto para madencisi sunduğu gözlemlendi. Bu tür zararlılar, madencilik yapılandırmasını Pastebin gibi URL’lerden almakta, bu sayede zararlılar dinamik parametrelerle güncellenebiliyor.
Ayrıca, madenci yüklerinin dağıtılması durumunda, saldırganlar, CPU kayıtlarıyla etkileşim sağlayabilmek için WinRing0x64.sys adlı zayıf bir sürücüyü de sisteme yüklemek üzere tespit edildi. WordPress siteleri, Avustralya, Brezilya, İtalya, Kanada, Kolombiya ve İsrail gibi ülkelerde yoğunlaşmakta, teknoloji, sağlık, otelcilik ve gayrimenkul gibi pek çok sektörü kapsamaktadır.
Önlem ve Güvenlik Stratejileri
ShadowCaptcha‘nın risklerini azaltmak için kullanıcıların ClickFix kampanyalarına dikkat etmesi, ağların bölümlendirilmesi ve WordPress sitelerinin güncel bir biçimde korunması büyük önem taşımakta. Çok faktörlü kimlik doğrulama (MFA) kullanarak, güvenlik sağlamak mümkündür.
Araştırmacılar, “ShadowCaptcha, sosyal mühendislik saldırılarının çok yönlü siber operasyonlara dönüştüğünü gösteriyor.” diyor. Kullanıcıları, yerleşik Windows araçlarını çalıştırmaya ikna ederek, karmaşık ve gizli kalmaya yönelik bir yapı oluşturulmakta.
Help TDS ve Hedef Alınan Web Siteleri
GoDaddy, 2017 yılından beri faaliyet gösteren Help TDS adlı bir trafik dağıtım sisteminin evrimi üzerine detaylar verdi. Ellenin, dolandırıcılık amacıyla kullanılan PHP kod şablonları sunması ile birlikte WordPress sitelerini hedefleyen maliyet etkin siber saldırılar oluşturduğu belirtildi.
Bu operasyon, dolandırıcılık amaçlı Microsoft Windows güvenlik uyarı sayfaları ile kullanıcıları tuzağa düşürmeyi amaçlamakta. Help TDS operatörleri, 2024 sonları ile 2025 ağustosunun ortaları arasında woocommerce_inputs adında kötü amaçlı bir WordPress eklentisi geliştirdiler. Bu eklenti, 10.000’den fazla sitede kurulmuş durumda ve hırsızlık ve yönlendirme işlevlerini bir arada sunmaktadır.
Sonuç olarak, siber güvenlikta dikkatli olmak ve sürekli gelişen tehditleri göz önünde bulundurmak, bireyler ve işletmeler için son derece önemli hale gelmiştir.
