كشف باحثون من شركة أمان WordPress Defiant، يوم الخميس، عن برنامج ضار تم اكتشافه مؤخرًا يستهدف مواقع WordPress، مموهًا كمكون إضافي شرعي للتخزين المؤقت.
تم اكتشاف البرنامج الخبيث في يوليو أثناء عملية تنظيف موقع الويب. تتيح هذه البرامج الضارة، وهي في الأساس باب خلفي، للجهات الفاعلة في مجال التهديد إنشاء حساب مسؤول، والحصول على تحكم كامل في موقع الويب المستهدف.
تمويه ذكي
قال المحللون إن البرنامج الضار يحمل "تعليقًا افتتاحيًا ذو مظهر احترافي" لتقليد أداة تخزين مؤقت شرعية، وهي أداة تُستخدم عادةً لتحسين حركة مرور موقع الويب، وتقليل تحميل الخادم، وتسريع أوقات تحميل الصفحة.
إن اختيار التنكر على أنه مكون إضافي للتخزين المؤقت هو أمر متعمد، ويهدف إلى تجنب التدقيق والانزلاق خلال عمليات التفتيش اليدوية. كما أنه يخفي نفسه من قائمة المكونات الإضافية النشطة على مواقع الويب المخترقة لتجنب اكتشافها.
قدرات البرامج الضارة متعددة الأوجه
وفقًا للباحثين، يشتمل البرنامج الإضافي الخبيث على مجموعة متنوعة من الإمكانات:
- إنشاء مستخدم ضار: يقوم البرنامج الإضافي بإنشاء مستخدم "مسؤول متميز" على موقع الويب المخترق بكلمة مرور مضمنة وأذونات على مستوى المسؤول. كما أن لديها وظيفة إزالة هذا الحساب، ومحو أي آثار لوجوده.
- اكتشاف الروبوتات: بعد تحديد زوار الروبوتات، فإنه يقدم لهم محتوى محددًا، مثل البريد العشوائي، مما يجعلهم يقومون بفهرسة موقع الويب المخترق بحثًا عن محتوى ضار. قد يؤدي ذلك إلى زيادة في عدد الزيارات أو تقارير من زوار حقيقيين حول إعادة التوجيه إلى المواقع الضارة.
- استبدال المحتوى: يمكن للباب الخلفي تغيير المنشورات والصفحات والمحتويات الأخرى على مواقع الويب المخترقة، وإدراج أزرار أو روابط غير مرغوب فيها حسب تقديره. يتم تقديم محتوى غير معدل لمسؤولي موقع الويب الفعليين لتأخير الاكتشاف.
- تنشيط/إلغاء تنشيط المكونات الإضافية: يتيح التنشيط عن بعد أو إلغاء تنشيط مكونات WordPress الإضافية التعسفية على مواقع الويب المخترقة مع مسح آثار هذه الأنشطة تلقائيًا لتجنب اكتشافها.
الاستدعاء عن بعد: يتحقق من سلاسل وكيل المستخدم المحددة، مما يسمح للمشغلين بالتحكم عن بعد في بعض الوظائف الضارة التي تتطابق مع سيناريوهات معينة.
الاستغلال وتحقيق الدخل على حساب الضحايا
وأشار الباحثون في الاستشارة الأمنية إلى أن "هذه الميزات مجتمعة توفر للمهاجمين كل ما يحتاجونه للتحكم عن بعد في موقع الضحية وتحقيق الدخل منه، على حساب تصنيفات تحسين محركات البحث الخاصة بالموقع وخصوصية المستخدم" .
في حين أن عدد مواقع الويب المخترقة والتفاصيل الأخرى حول البرنامج الإضافي لم يتم الكشف عنها بعد، فقد أكد الباحثون على طبيعة التمويه لهذه البرامج الضارة باعتبارها مكونًا إضافيًا لذاكرة التخزين المؤقت.
حماية موقع الويب الخاص بك
ويأتي هذا الاكتشاف في أعقاب حدث مهم آخر؛ اكتشف الباحثون مؤخرًا حملة Balada Injector الضخمة وربطوها باختراق أكثر من 17000 موقع من مواقع WordPress.
لدرء مثل هذه التهديدات، يُنصح المستخدمون بالحفاظ على تحديث السمات والمكونات الإضافية الخاصة بهم إلى أحدث الإصدارات، واستخدام سياسات كلمة المرور القوية، وفحص مواقع الويب الخاصة بهم بشكل دوري بحثًا عن الأنشطة المشبوهة، وإزالة العناصر غير المستخدمة أو المشكوك فيها من لوحاتهم.
علاوة على ذلك، فإن إدارة أذونات المستخدم بعناية يمكن أن تساعد في منع العمليات غير المرغوب فيها الناجمة عن عدم وجود سياسة أذونات سليمة.
مع التطور المستمر للبرامج الضارة، يعد البقاء خطوة للأمام في الإجراءات الأمنية أمرًا ضروريًا لأصحاب مواقع الويب لحماية أصولهم الرقمية وثقة المستخدم.