En août 2025, les chercheurs de l’Agence nationale israélienne du numérique ont découvert une vaste campagne de cybercriminalité en cours exploitant une technique ClickFix. La campagne utilise une fausse page CAPTCHA de Cloudflare ou Google pour tromper les victimes en exécutant des commandes malveillantes via des sites WordPress compromis.
Une analyse rétrospective indique que la campagne est active depuis au moins un an avec le potentiel d’impact sur des milliers d’organisations dans le monde entier. L’analyse a révélé plus de 100 sites WordPress compromis injectés avec du JavaScript malveillant redirigeant vers une infrastructure contrôlée par l’attaquant, ainsi que des centaines d’échantillons de logiciels malveillants couvrant plusieurs familles et variantes.
La campagne, que nous avons surnommée ShadowCaptcha, mélange l’ingénierie sociale, les binaires « living-off-the-land » (LOLBins) et la livraison de charges utiles multi-étapes pour obtenir et maintenir une empreinte dans les systèmes ciblés. Les objectifs ultimes de ShadowCaptcha sont la collecte d’informations sensibles via le vol d’identifiants et l’exfiltration de données de navigateur, le déploiement de mineurs de cryptomonnaie pour générer des profits illicites, voire provoquer des flambées de ransomware. Cette combinaison de tactiques souligne sa nature en tant qu’opération opportuniste motivée financièrement, mêlant ingénierie sociale, persistance furtive et monétisation à la fois par le vol de données et le minage de cryptomonnaie.
Si elle n’est pas détectée, ShadowCaptcha peut entraîner un accès non autorisé prolongé aux systèmes internes, un minage de cryptomonnaie soutenu qui dégrade les performances et augmente les coûts opérationnels, ainsi qu’une exfiltration à grande échelle de données sensibles pouvant entraîner des dommages de réputation, des sanctions réglementaires et des pertes financières. La nature opportuniste de cette campagne signifie que toute organisation accessible sur Internet est une cible potentielle, quelle que soit sa taille ou son secteur.
Compte tenu de son ampleur et de son adaptabilité, nous recommandons de créer des règles de détection et de prévention ciblant les TTP détaillés dans ce rapport, ainsi que des formations de sensibilisation pour les utilisateurs finaux afin de reconnaître et d’éviter la technique d’ingénierie sociale ClickFix plus large, pour réduire les risques et prévenir les incidents futurs