في أغسطس 2025، كشف باحثون في وكالة إسرائيل الوطنية الرقمية عن حملة مستمرة واسعة النطاق للجريمة السيبرانية تستخدم تقنية ClickFix. تستغل الحملة صفحة وهمية لـ Cloudflare أو Google CAPTCHA لخداع الضحايا لتنفيذ أوامر خبيثة عبر مواقع WordPress مخترقة.
يشير التحليل الاستعادي إلى أن الحملة نشطة منذ عام على الأقل، مع احتمال تأثيرها على آلاف المنظمات حول العالم. كشف التحليل عن أكثر من 100 موقع WordPress مخترق تم حقنها ببرمجيات خبيثة من نوع JavaScript تعيد التوجيه إلى بنية تحتية يسيطر عليها المهاجمون، ومئات العينات من البرمجيات الخبيثة التي تشمل عائلات ومتغيرات متعددة.
الحملة، التي أطلقنا عليها اسم ShadowCaptcha، تمزج بين الهندسة الاجتماعية، واستخدام أدوات النظام الأصلية (LOLBins)، وتسليم حمولات متعددة المراحل لاكتساب موطئ قدم في الأنظمة المستهدفة والحفاظ عليه. تتمثل الأهداف النهائية لـ ShadowCaptcha في جمع المعلومات الحساسة من خلال حصاد بيانات الاعتماد واستخراج بيانات المتصفح، ونشر برامج تعدين العملات المشفرة لتوليد أرباح غير مشروعة، وحتى التسبب في تفشي برامج الفدية. يؤكد هذا المزيج من التكتيكات على طبيعتها كعملية انتهازية ذات دوافع مالية، تمزج بين الهندسة الاجتماعية، والمثابرة الخفية، وتحقيق الدخل من خلال سرقة البيانات والتعدين المشفر.
إذا لم يتم اكتشافها، يمكن أن تؤدي ShadowCaptcha إلى وصول غير مصرح به لفترات طويلة إلى الأنظمة الداخلية، وتعدين مشفر مستمر يؤدي إلى تدهور الأداء وزيادة التكاليف التشغيلية، واستخراج واسع النطاق للبيانات الحساسة التي يمكن أن تؤدي إلى أضرار بالسمعة، وعقوبات تنظيمية، وخسائر مالية. تعني الطبيعة الانتهازية لهذه الحملة أن أي منظمة تواجه الإنترنت هي هدف محتمل، بغض النظر عن حجمها أو قطاعها.
نظرًا لحجمها وقدرتها على التكيف، نوصي بإنشاء قواعد للكشف والوقاية تستهدف التكتيكات والتقنيات والإجراءات (TTPs) المفصلة في هذا التقرير، إلى جانب تدريب توعية للمستخدمين النهائيين للتعرف على تقنية الهندسة الاجتماعية ClickFix الأوسع وتجنبها، لتقليل المخاطر ومنع الحوادث المستقبلية.