באוגוסט 2025, חוקרים בסוכנות הלאומית הדיגיטלית של ישראל חשפו קמפיין פשעי סייבר גדול בהיקפו המשתמש בטכניקת ClickFix. הקמפיין משתמש בדף CAPTCHA מזויף של Cloudflare או Google כדי להטעות קורבנות לבצע פקודות זדוניות דרך אתרי וורדפרס שנפגעו.
ניתוח רטרוספקטיבי מצביע על כך שהקמפיין פעיל לפחות בשנה האחרונה, עם פוטנציאל להשפיע על אלפי ארגונים ברחבי העולם. הניתוח חשף למעלה מ-100 אתרי וורדפרס שנפגעו והוזרק בהם קוד JavaScript זדוני שהפנה לתשתיות הנשלטות על ידי התוקפים, ומאות דגימות נוזקות המשתרעות על פני משפחות וגרסאות מרובות.
הקמפיין, שכינינו ShadowCaptcha, משלב הנדסה חברתית, שימוש בכלים מובנים במערכת (LOLBins), ומשלוח מטענים רב-שלבי כדי להשיג ולשמור דריסת רגל במערכות הממוקדות. המטרות הסופיות של ShadowCaptcha הן איסוף מידע רגיש באמצעות קצירת פרטי התחברות וחילוץ נתוני דפדפן, פריסת כורי מטבעות קריפטוגרפיים ליצירת רווחים בלתי חוקיים, ואף גרימת התפרצויות כופר. שילוב זה של טקטיקות מדגיש את טבעו כמבצע אופורטוניסטי בעל מניעים פיננסיים, המשלב הנדסה חברתית, התמדה חשאית, ומונטיזציה הן דרך גניבת נתונים והן דרך כריית קריפטו.
אם לא יתגלה, ShadowCaptcha עלול להוביל לגישה בלתי מורשית ממושכת למערכות פנימיות, כריית קריפטו מתמשכת המפחיתה ביצועים ומגדילה עלויות תפעוליות, וחילוץ נתונים רגישים בהיקף גדול שעלול להוביל לנזק תדמיתי, קנסות רגולטוריים והפסדים כספיים. האופי האופורטוניסטי של קמפיין זה פירושו שכל ארגון הפונה לאינטרנט הוא יעד פוטנציאלי, ללא קשר לגודלו או למגזר שלו.
בהתחשב בהיקפו וביכולת ההסתגלות שלו, אנו ממליצים ליצור כללי זיהוי ומניעה המכוונים ל-TTPs המפורטים בדוח זה, לצד הדרכות מודעות למשתמשי קצה לזיהוי והימנעות מטכניקת ההנדסה החברתית הרחבה יותר של ClickFix, כדי להפחית סיכונים ולמנוע תקריות עתידיות.