بواسطة: لورانس ابرامز | BleepingComputer
يتم اختراق مواقع WordPress لتثبيت مكونات إضافية ضارة تعرض تحديثات وأخطاء برمجية مزيفة لدفع برامج ضارة تسرق المعلومات.
على مدى العامين الماضيين، أصبحت برامج سرقة المعلومات الضارة بمثابة آفة للمدافعين عن الأمن في جميع أنحاء العالم حيث يتم استخدام بيانات الاعتماد المسروقة لاختراق الشبكات وسرقة البيانات.
منذ عام 2023، تم استخدام حملة ضارة تسمى ClearFake لعرض لافتات تحديث مزيفة لمتصفح الويب على مواقع الويب المخترقة التي توزع برامج ضارة لسرقة المعلومات.
في عام 2024، تم إطلاق حملة جديدة تسمى ClickFix تتشابه كثيرًا مع ClearFake ولكنها تتظاهر بأنها رسائل خطأ برمجية تتضمن إصلاحات. ومع ذلك، فإن هذه "الإصلاحات" عبارة عن نصوص PowerShell، وعند تنفيذها، ستقوم بتنزيل وتثبيت برامج ضارة لسرقة المعلومات.
أصبحت حملات ClickFix شائعة بشكل متزايد هذا العام، حيث قام الجناة باختراق المواقع لعرض لافتات تعرض أخطاء مزيفة لمتصفح Google Chrome ، ومؤتمرات Google Meet ، وFacebook، وحتى صفحات CAPTCHA.
في الأسبوع الماضي، أبلغت GoDaddy أن الجهات الفاعلة في مجال التهديد ClearFake/ClickFix اخترقت أكثر من 6000 موقع WordPress لتثبيت مكونات إضافية ضارة تعرض التنبيهات المزيفة المرتبطة بهذه الحملات.
"يتعقب فريق GoDaddy Security نوعًا جديدًا من البرامج الضارة المزيفة لتحديث المتصفح ClickFix (المعروف أيضًا باسم ClearFake) والتي يتم توزيعها عبر مكونات WordPress الإضافية المزيفة"، كما يوضح الباحث الأمني في GoDaddy Denis Sinegubko .
"تم تصميم هذه المكونات الإضافية التي تبدو شرعية لكي تظهر وكأنها غير ضارة لمسؤولي مواقع الويب ولكنها تحتوي على نصوص ضارة مضمنة ترسل مطالبات تحديث مزيفة للمتصفح للمستخدمين النهائيين."
تستخدم المكونات الإضافية الضارة أسماء مشابهة للمكونات الإضافية المشروعة، مثل Wordfense Security وLiteSpeed Cache، بينما تستخدم مكونات إضافية أخرى أسماء عامة مختلقة.
وأشارت شركة أمن مواقع الويب Sucuri أيضًا إلى أن مكونًا إضافيًا مزيفًا باسم "Universal Popup Plugin" هو أيضًا جزء من هذه الحملة.
عند تثبيته، سيقوم المكون الإضافي الضار بربط إجراءات WordPress المختلفة اعتمادًا على المتغير لحقن نص JavaScript ضار في HTML الخاص بالموقع.
عند تحميله، سيحاول هذا البرنامج النصي تحميل ملف JavaScript ضار آخر مخزّن في عقد ذكي Binance Smart Chain (BSC) ، والذي يقوم بعد ذلك بتحميل البرنامج النصي ClearFake أو ClickFix لعرض اللافتات المزيفة.
من سجلات الوصول إلى خادم الويب التي حللها Sinegubko، يبدو أن الجهات الفاعلة في التهديد تستخدم بيانات اعتماد المسؤول المسروقة لتسجيل الدخول إلى موقع WordPress وتثبيت البرنامج المساعد بطريقة آلية.
يقوم المهاجمون بتسجيل الدخول عبر طلب HTTP POST واحد بدلاً من زيارة صفحة تسجيل الدخول الخاصة بالموقع أولاً. وهذا يشير إلى أن ذلك يتم بطريقة آلية بعد الحصول على بيانات الاعتماد بالفعل.
بمجرد قيام الجهة المسؤولة عن التهديد بتسجيل الدخول، فإنها تقوم بتحميل البرنامج الإضافي الضار وتثبيته.
وفي حين أنه من غير الواضح كيف يحصل الجناة على بيانات الاعتماد، يشير الباحث إلى أنه قد يكون ذلك من خلال هجمات القوة الغاشمة السابقة، والتصيد الاحتيالي، والبرمجيات الخبيثة التي تسرق المعلومات.
إذا كنت تستخدم نظام WordPress وتتلقى تقارير عن تنبيهات مزيفة يتم عرضها للزائرين، فيجب عليك فحص قائمة المكونات الإضافية المثبتة على الفور وإزالة أي مكونات لم تقم بتثبيتها بنفسك.
إذا وجدت مكونات إضافية غير معروفة، فيجب عليك أيضًا إعادة تعيين كلمات المرور الخاصة بجميع مستخدمي المسؤول على الفور إلى كلمة مرور فريدة تستخدم فقط في موقعك.