Активная атака на WordPress: поддельная CAPTCHA ворует пароли и криптокошельки посетителей сайтов

Специалисты SecureLeaf Cybersecurity зафиксировали активную вредоносную операцию против ресурсов на базе связок Divi, WooCommerce или Elementor Pro. Ключевая особенность текущей волны - использование двух независимых вредоносных компонентов. Первый тихо загружает в браузер жертвы посторонний код, а второй накладывает поверх контента поддельный виджет CAPTCHA. Его задача - обманом заставить пользователя Windows выполнить команду PowerShell, которая запускает бесфайловую цепочку заражения. Динамический анализ в изолированной среде Joe Sandbox подтвердил полный путь атаки с итоговой оценкой угрозы 100 из 100. В результате полезная нагрузка доставляется прямо в память системного процесса через инструмент DonutLoader. Далее внедрённый модуль TR/Rozena.Gen похищает сохранённые пароли Firefox, сессионные куки Chrome, историю просмотров и данные криптокошельков Electrum и Jaxx. В это же время третий невидимый компонент орудует уже внутри панели управления самого сайта и намеренно отключает установленные там сканеры безопасности. Владелец сайта не видит проблемы, пока его посетители находятся под прямой угрозой.

Аналитики SecureLeaf выяснили два основных пути проникновения на сайт. Самая распространённая причина - использование нелицензионных, так называемых "нулевых" версий платных плагинов вроде Elementor Pro. Такой файл уже содержит вшитый веб-шелл или инжектор вредоносного кода. Установка подобного архива равносильна добровольной передаче ключей от сервера постороннему, ведь механизм автообновлений в таких сборках отключён. Второй вектор связан с уязвимостью CVE-2024-10924 в плагине Really Simple Security версий вплоть до 9.5.3.x. Эта критическая брешь с оценкой 9.8 по шкале CVSS позволяла получить привилегии администратора без какой-либо аутентификации. Закрыли её лишь в версии 9.5.11, но запоздавшие с обновлением сайты оказались взломаны в автоматическом режиме, без единого действия со стороны атакуемого.

Техническая реализация атаки разделена на независимые вредоносные компоненты. Первый представляет собой встроенный в страницы сайта джаваскрипт-загрузчик. При открытии любого адреса сайта в браузере посетителя без установленных кук, сценарий выполняет запрос к управляющему серверу злоумышленников. Обратный адрес сервера закодирован в теле скрипта. В случае успеха ответный файл размером более полутора мегабайт подгружается и исполняется прямо в браузере. Код намеренно обфусцирован, содержит ловушки для отладчиков и автоматических "песочниц", а также сотни тысяч запутывающих элементов. Именно такая проверка на отсутствие кук делает угрозу невидимой для вернувшихся пользователей и самих администраторов, которые заходят на сайт в уже авторизованном виде.

Второй компонент ещё изощрённее. Прямо перед закрывающим тегом body сайт внедряет контейнер с использованием современного механизма Declarative Shadow DOM. Эта технология изолирует элемент от стандартных методов поиска по документу и делает его практически прозрачным для многих сканеров. Визуально посетитель видит точную копию популярной капчи Cloudflare с крутящейся анимацией. Окно получает наивысший возможный z-индекс, перекрывая всё содержимое. Когда человек кликает по кнопке подтверждения, вредоносная команда записывается в его буфер обмена, а на экране появляется инструкция с призывом вставить этот текст в диалог "Выполнить" или окно PowerShell. Весь сценарий технически описан в отчёте SecureLeaf и подтверждён многократным тестированием. Строка в буфере обмена собрана из частей, чтобы избежать обнаружения сигнатурным антивирусом, а сама атака получила название ClickFix.

Как только жертва нажимает кнопку и запускает вставленный код, PowerShell загружает с удалённого сервера первый скрипт-дроппер. Он, в свою очередь, связывается со вторым командным центром и получает основной загрузчик DonutLoader. Затем срабатывает штатный компилятор csc.exe, который собирает вредоносную динамическую библиотеку прямо на лету. Библиотека внедряется в законный системный процесс svchost.exe и в chrome.exe для перехвата сессий. Далее идёт прямой обход памяти и файловых путей жертвы. Доказанный анализом перечень украденных данных включает в себя мастер-пароли Firefox, историю и сессионные куки Chrome, а также файлы криптокошельков с приватными ключами. Послевыполнительный сценарий использует классическую задержку через ping, чтобы тихо удалить свой исполняемый файл и замести следы.

Управляющая инфраструктура злоумышленников выводит расследование на сеть Omegatech LTD и автономную систему AS202412. Эта сеть зарегистрирована в январе 2026 года и не обслуживает ни одного легитимного проекта. Более шести десятков серверов в её подсетях связаны с шестнадцатью различными семействами вредоносных программ, включая Remcos RAT. Регистрация на Сейшелах выбрана намеренно, чтобы игнорировать любые жалобы о нарушении безопасности. Эффективной мерой для системных администраторов станет полная блокировка всей автономной системы, а не отдельных IP-адресов. Легитимный трафик оттуда не поступает.

Последствия для бизнеса и обычных пользователей трудно переоценить. Эксплуатация уязвимости CVE-2024-10924 или доверие к пиратскому плагину открывает злоумышленникам путь к криптокошелькам клиентов, чужим паролям и платёжным данным. Сама техника ClickFix эксплуатирует доверие людей к стандартным проверкам безопасности. Поскольку выполнение кода происходит в системных процессах, обычные антивирусы могут не заметить угрозу вовремя. Администраторам скомпрометированных сайтов категорически нельзя полагаться на панель управления WordPress для удаления заразы. Зловредный скрипт там активен, он удаляет кнопки запуска сканеров безопасности и может выдать ложное ощущение чистоты. Все операции по поиску инжекторов grep-командами и замене файлов необходимо проводить только через SSH или файловый менеджер хостинга.

Пользователю, который невольно выполнил подставленную команду, важно немедленно отключить машину от сети. Доказанная цепочка крадёт сессионные куки, позволяя обходить двухфакторную аутентификацию на сервисах. Смена всех паролей с чистого устройства и включение двухфакторной аутентификации там, где это ещё не сделано, спасут учётные записи от дальнейшей компрометации. Этот инцидент в очередной раз подтверждает простое правило: безопасность веб-проекта начинается с отказа от "нулевых" расширений и регулярных обновлений. Стоимость лицензионного ключа несоизмерима с репутационным и финансовым уроном от успешной атаки подобного масштаба.

IPv4

• 158.94.208.104
• 158.94.208.92
• 178.16.52.232

Domains

• dnsnewtds.shop
• gettrumpmemestrendingtokens.com
• ntdnewtds.shop

• SecureLeaf-ADV-2026-WP-001.pdf