พบการหลอกลวงขนาดใหญ่ชื่อว่า ShadowCaptcha ถูกตรวจพบครั้งแรกเมื่อเดือนสิงหาคม 2025 โดยใช้เว็บไซต์ WordPress ที่ถูกแฮ็กกว่า 100 แห่ง เพื่อหลอกให้ผู้ใช้งานหลงเชื่อว่าเป็นหน้าตรวจสอบความปลอดภัยแบบ CAPTCHA จาก Cloudflare หรือ Google
แต่แท้จริงแล้ว นี่คือหน้าปลอมที่ใช้เทคนิค ClickFix ซึ่งเป็นวิธีหลอกให้เหยื่อคัดลอกคำสั่งอันตรายที่ถูกวางไว้ใน Clipboard โดยอัตโนมัติ และรันคำสั่งผ่าน Windows Run หรือดาวน์โหลดไฟล์ HTA ปลอมมาติดตั้งเอง
เมื่อเหยื่อรันคำสั่งหรือไฟล์ที่ถูกหลอกให้โหลด ShadowCaptcha จะติดตั้งมัลแวร์ในหลายรูปแบบ เช่น
- Info Stealer: ขโมยข้อมูลในเบราว์เซอร์ เช่น รหัสผ่าน คุกกี้
- Ransomware (Epsilon Red): เข้ารหัสไฟล์ในเครื่องและเรียกค่าไถ่
- Cryptocurrency Miner (XMRig): ใช้ CPU ของเหยื่อขุดเหรียญดิจิทัลแบบลับ ๆ
บางเวอร์ชันยังใช้ไฟล์จาก Pastebin เพื่ออัปเดตคำสั่งแบบ dynamic ทำให้ยากต่อการตรวจจับ
จากการวิเคราะห์ของนักวิจัย พบว่าเว็บไซต์ WordPress ที่ตกเป็นเหยื่อ ส่วนใหญ่มาจากการใช้ Plugin ที่มีช่องโหว่ หรือการตั้งรหัสผ่านง่าย ๆ จนถูกแฮกเกอร์เจาะเข้าไปติดตั้งโค้ดอันตรายได้
กลุ่มเว็บไซต์ที่ถูกโจมตีครอบคลุมหลายประเทศ เช่น ออสเตรเลีย บราซิล อิตาลี แคนาดา โคลอมเบีย และอิสราเอล
วิธีป้องกันสำหรับเจ้าของเว็บ WordPress
- ใช้ รหัสผ่านที่แข็งแรง และเปิดใช้ Multi-Factor Authentication (MFA)
- ตรวจสอบ Plugin และ Theme ที่ใช้อย่างสม่ำเสมอ
- อัปเดต WordPress, Plugins และ Themes เป็นเวอร์ชันล่าสุด
- สแกนโค้ด JavaScript ที่แฝงในหน้าเว็บ เช่นการเปลี่ยนเส้นทางหรือเรียกใช้ clipboard
- หลีกเลี่ยงการเปิดหน้า CAPTCHA ที่ดูผิดปกติหรือขอให้พิมพ์คำสั่งใด ๆ
บริการของ hostatom ที่ช่วยคุณรับมือภัย ShadowCaptcha
ไม่ต้องรอให้เว็บถูกแฮก! ปกป้องเว็บไซต์ WordPress ของคุณได้ด้วยบริการจาก hostatom:
ติดตั้งและดูแล WordPress อย่างมืออาชีพ (WordPress Managed Hosting)🔗 https://www.hostatom.com/wordpress-hosting/
ที่มา: The Hacker News
