Israelische Nationale Digitalagentur enttarnt weltweite Cyberangriffskampagne „ShadowCaptcha“

Die israelische Nationale Digitalagentur hat eine internationale Angriffswelle aufgedeckt, die unter dem Namen „ShadowCaptcha“ bekannt ist. Nach Angaben der Forscher nutzten die Angreifer gefälschte Google- und Cloudflare-CAPTCHA-Seiten in Verbindung mit der sogenannten ClickFix-Technik. Die Kampagne war demnach mindestens ein Jahr lang aktiv und griff auf Hunderte kompromittierte WordPress-Webseiten zu.

Die Attacke setzte auf eine Kombination aus Social Engineering, dem Missbrauch legitimer Tools und einer mehrstufigen Verbreitung von Schadsoftware. Ziel war es, sensible Daten zu stehlen, Cryptominer einzuschleusen und im Extremfall auch Ransomware-Angriffe auszulösen.

Im August 2025 deckten Forscher der israelischen National Digital Agency eine laufende groß angelegte Cyberkriminalitätskampagne auf, die sich einer ClickFix-Technik bedient. Die Kampagne nutzt eine gefälschte Cloudflare- oder Google-CAPTCHA-Seite, um Opfer dazu zu verleiten, über kompromittierte WordPress-Websites bösartige Befehle auszuführen.
Eine rückblickende Analyse zeigt, dass die Kampagne seit mindestens einem Jahr aktiv ist und potenziell Tausende von Organisationen weltweit betreffen könnte. Die Analyse deckte über 100 kompromittierte WordPress-Websites auf, in die bösartiges JavaScript injiziert wurde, das zu einer vom Angreifer kontrollierten Infrastruktur weiterleitet, sowie Hunderte von Malware-Beispielen aus mehreren Familien und Varianten.

Die Kampagne, die wir ShadowCaptcha getauft haben, kombiniert Social Engineering, Living-off-the-Land-Binärdateien (LOLBins) und mehrstufige Payload-Verteilung, um in den Zielsystemen Fuß zu fassen und sich dort zu halten. Die letztendlichen Ziele von ShadowCaptcha sind das Sammeln sensibler Informationen durch das Erfassen von Anmeldedaten und das Exfiltrieren von Browserdaten, der Einsatz von Cryptocurrency-Minern zur Erzielung illegaler Gewinne und sogar das Auslösen von Ransomware-Ausbrüchen. Diese Kombination von Taktiken unterstreicht den Charakter der Kampagne als opportunistische, finanziell motivierte Operation, die Social Engineering, heimliche Persistenz und Monetarisierung durch Datendiebstahl und Cryptomining miteinander verbindet.

Wenn ShadowCaptcha unentdeckt bleibt, kann dies zu einem längeren unbefugten Zugriff auf interne Systeme, anhaltendem Cryptomining, das die Leistung beeinträchtigt und die Betriebskosten erhöht, sowie zur groß angelegten Exfiltration sensibler Daten führen, was zu Reputationsschäden, behördlichen Strafen und finanziellen Verlusten führen kann. Der opportunistische Charakter dieser Kampagne bedeutet, dass jede Organisation mit Internetanschluss ein potenzielles Ziel ist, unabhängig von ihrer Größe oder Branche.

Angesichts des Umfangs und der Anpassungsfähigkeit empfehlen wir die Erstellung von Erkennungs- und Präventionsregeln, die auf die in diesem Bericht beschriebenen TTPs abzielen, sowie Sensibilisierungsschulungen für Endbenutzer, damit diese die allgemeine Social-Engineering-Technik ClickFix erkennen und vermeiden können, um Risiken zu reduzieren und zukünftige Vorfälle zu verhindern.

Mehr zum Schmökern

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky