LIVE_FEED

--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.com→Magecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.net→Drive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.io→Obfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.co→Credential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.org→Malicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.com→FakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.app→Unauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ru→Drive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyz→C2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shop→Affiliate cloaking + cookie stuff// US-CENTRAL

← назад към блога

Threat Intelligence2026-04-286 мин. четене

Anatomie des „Fake-CAPTCHA → ClickFix“-Köders

Ein 90-sekündiger Walkthrough durch eine der wirkungsvollsten Social-Engineering-Ketten des Jahres – mit dem vollständigen MITM-Transkript aus einer Live-Erkennung.

ClickFix ist eine Technik, bei der eine gefälschte CAPTCHA-Seite den Nutzer dazu verleitet, einen Clipboard-Befehl in den Windows-Dialog „Ausführen“ einzufügen. Der Clipboard-Befehl ist typischerweise ein PowerShell-Einzeiler, der einen Second-Stage-Loader herunterlädt.

Die Infrastruktur beeindruckt durch ihre Schlichtheit: Ein kompromittiertes WordPress-Plugin injiziert ein einziges bedingtes Skript, das die Seite durch den Köder ersetzt, sobald der Besucher dem Zielprofil entspricht (Windows + nicht-korporative IP + Erstbesuch).

Unsere Pipeline fängt dies auf der Ebene der Redirect-Chain ab. Das injizierte JavaScript führt einen Same-Origin-Fetch auf /wp-content/plugins/<name>/api.php durch, der den Köder-HTML zurückgibt. Dieser Fetch ist für passive Scanner unsichtbar, aber unbestreitbar, wenn er in einem echten Browser wiedergegeben wird.

Die gute Nachricht: Jede bestätigte Erkennung im vergangenen Quartal wies denselben Drei-Zeichen-Header in der api.php-Antwort auf. Wir kennzeichnen diesen Header jetzt auf Netzwerkebene zur Frühwarnung.

свързани_статии

Magecart-Skimmer erkennen im Jahr 2026: Was sich nach Gruppe 12 verändert hat

Warum wir uns für ein 5-Minuten-Scan-Intervall entschieden haben (und nicht 1 Minute)