Una sofisticada campaña global de delitos cibernéticos denominado “ShadowCaptcha” se ha convertido en una amenaza significativa para las organizaciones de todo el mundo, aprovechando las páginas falsas de Google y Cloudflare Captcha para engañar a las víctimas para ejecutar comandos maliciosos.
Descubridos por investigadores de la Agencia Digital Nacional de Israel en agosto de 2025, esta operación a gran escala ha estado activa durante al menos un año, explotando cientos de sitios web comprometidos de WordPress para entregar cargas útiles de malware en varias etapas.
La campaña emplea una técnica engañosa conocida como ClickFix, donde los atacantes inyectan JavaScript malicioso en sitios comprometidos de WordPress que redirigen a los usuarios a la infraestructura controlada por los atacantes que alojan páginas de verificación CaptCha falsas.
Estas páginas diseñadas de manera convincente imitan las verificaciones legítimas de CloudFlare o Google de seguridad, lo que lleva a los usuarios desprevenidos a copiar y ejecutar comandos de PowerShell bajo la apariencia de completar un proceso de verificación de seguridad.
El análisis retrospectivo ha revelado el extenso alcance de la campaña, con más de 100 sitios de WordPress comprometidos que sirven como vectores de infección iniciales y cientos de muestras de malware que abarcan múltiples familias y variantes.
Analistas de Gobierno LI identificado La naturaleza oportunista de la campaña, dirigida a organizaciones en todos los sectores, independientemente del tamaño o la industria vertical.
El ataque opera a través de un sofisticado mecanismo de entrega de varias etapas que combina la ingeniería social con binarios vivos de la tierra (LOLBins) para mantener la persistencia mientras evade la detección.
Una vez que las víctimas ejecutan los comandos maliciosos disfrazados, el malware establece un punto de apoyo dentro de los sistemas específicos y procede con sus objetivos principales.
Estrategia de monetización multifacética
El mecanismo de infección de ShadowCaptcha demuestra una notable versatilidad en su enfoque de monetización.
El malware se centra en tres flujos de ingresos primarios: recolección de credenciales y exfiltración de datos del navegador para el robo de identidad, el despliegue de mineros de criptomonedas para generar ganancias ilícitas a partir de sistemas infectados y un posible despliegue de ransomware para una ganancia financiera inmediata.
Captcha falso (Fuente – Gov.li)
Esta estrategia múltiple maximiza el retorno de la inversión de los atacantes mientras crea un acceso no autorizado sostenido a las redes comprometidas.
La capacidad de la campaña para adaptar su carga útil en función de las características del sistema y la postura de seguridad lo hace particularmente peligroso, ya que puede pivotar entre diferentes modos de ataque para evitar la detección mientras mantiene el acceso persistente a valiosos recursos corporativos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
