מערך הסייבר של ישראל הודיע כי חשף מתקפת סייבר בינלאומית נרחבת בשם ShadowCaptcha, המנצלת תכונות אבטחה מהימנות כדי להפיץ נוזקות. מתקפת סייבר זו, שכבר השפיע על מאות אתרים ברחבי העולם – כולל בישראל – מכוונת בעיקר לפלטפורמות אתרי אינטרנט מבוססות וורדפרס והופך אותן למרכזי הפצה של נוזקות המסוגלות לגנוב מידע אישי, להשתמש במערכות מחשוב לכריית מטבעות קריפטו, או להצפין מידע במתקפות כופרה. מה שמייחד את ShadowCaptcha הוא ניצול לרעה של אמון המשתמשים. פושעי הסייבר מחדירים קוד זדוני לאתרים שנפרצו ומפנים מבקרים לדפי אימות CAPTCHA מזויפים המחקים את מנגנון 'אני לא רובוט' המוכר לכולם. במקום ללחוץ על תיבה או לבחור תמונות, מתבקשים המשתמשים לבצע שלבים תמימים למראה כמו הדבקת טקסט או הזנת פקודה. פעולות אלו מפעילות בסתר נוזקות המותקנות במערכות המחשוב שלהם.
ניר בר יוסף – ראש מערך הדיגיטל הלאומי אמר בראיון לאתר Ynet: "כולם מכירים את מנגנון ה- CAPTCHA, אבל כאן מבקשת הגרסה הזדונית מהמשתמשים לבצע פעולות מחוץ לדפדפן, כמו פתיחת סרגל חיפוש במחשב והעתקת פקודה המוצגת בחלון הדפדפן. פקודה זו למעשה מתקינה את הנוזקה. CAPTCHA אמיתי לעולם לא פוגע במחשב, כל עוד הפעולה מתרחשת בתוך הדפדפן."
ההשפעה הבינלאומית של מתקפת הסייבר ניכרת בדיווחים עדכניים של מומחי סייבר בינלאומיים ושל גופי אכיפה. היורופול וגם סוכנויות אמריקאיות ביצעו פעולות נגד ארגוני פשיעת סייבר, כמו למשל Operation Endgame – בו הושבתו שרתים ומאות אתרים נגועים אשר הפיצו נוזקות, מה שמדגיש מגמה חוזרת של פושעי סייבר המנצלים תשתית מקוונת לגיטימית. יש לציין כי שיטת הסוואת הנוזקה בתוך כלי אבטחה מוכרים, היא חלק מקרב מרדפים נרחב יותר בין האקרים לבין אנשי אבטחת סייבר. שיטת ההסוואה הזו מצטרפת לרשימה הולכת וגדלה של טקטיקות כמו מערכות תשלום מזויפות וחשבוניות מזויפות, שכולן נועדו להסתיר מקורבנות תמימים את הפעילות הזדונית.
עד כה לא נפגעו רשתות מחשוב ממשלתיות בישראל, אך החשד הוא שמספר האתרים האמיתי שנפרץ גבוה בהרבה מהמאות הבודדות שזוהו עד כה. מערך הסייבר הלאומי פועל להודיע לבעלי האתרים שנפגעו ולסייע באבטחתם. בנוסף, שותפו טביעות אצבע של הנוזקות עם גוגל ומיקרוסופט כדי שאלו יוכלו לעדכן את הדפדפנים, את תוכנות האנטי-וירוס ואת מערכות ההפעלה שלהן על מנת לחסום את האיום. טרם זוהו פושעי הסייבר העומדים מאחורי המתקפה, אם כי גורמים רשמיים מאמינים שמדובר ככל הנראה בעבודתן של קבוצות פשיעת סייבר בעלות מוטיבציה כלכלית ולא במתקפה של מדינות עוינות: הנוזקות עולות בקנה אחד עם כלים המשמשים בדרך כלל ארגוני פשיעה כלכלית.
מנהלי אתרים נדרשים לעדכן את התקנות וורדפרס והתוספים שלהם באופן קבוע תוך הקפדה על הנחיות אבטחת סייבר. גם משתמשי הקצה מקבלים אזהרה לבצע אימות CAPTCHA רק בתוך הדפדפנים שלהם ולגלות עירנות ולחשוד בכל הנחיה לבצע פקודות או לבצע פעולות מחוץ לדפדפן.
