44
حذّر باحثو الأمن السيبراني من حملة تصيد تستهدف مستخدمي WooCommerce عبر بريد إلكتروني زائف يدعي وجود تحديث أمني عاجل، بينما يُثبت بوابة خلفية على الموقع.
تفاصيل الحملة
الجهة المستهدفة
- الفئة: مستخدمو WooCommerce
- الغرض: اختراق المواقع وإنشاء بوابات خلفية
- التقنية المستخدمة: بريد احتيالي + ملف ZIP خبيث
آلية التوزيع
- النقطة الأولى: رسالة بريد إلكتروني تحتوي على رابط “Download Patch”
- النقطة الثانية: إعادة توجيه الضحية إلى موقع مزيّف باستخدام homograph attack (مثال: woocommėrce[.]com)
- النقطة الثالثة: تحميل ملف ZIP يحتوي على plugin خبيث باسم “authbypass-update-31297-id.zip”
كيف يتم تنفيذ الهجوم؟
| المرحلة | التفاصيل |
| 1. دخول البريد الإلكتروني | استقبال رسالة احتيالية تدعي وجود تحديث أمني عاجل |
| 2. التفاعل مع الرابط | النقر على “Download Patch” يؤدي إلى صفحة ويب مزيّفة |
| 3. تحميل المكون الإضافي | تحميل ملف ZIP يحتوي على برنامج خبيث تم تمريره كـ plugin عادي |
| 4. التثبيت اليدوي | المستخدم يقوم بتثبيت الملف بنفسه ظناً منه أنه تحديث مشروع |
| 5. تنفيذ البرنامج الخبيث | إنشاء مستخدم إداري جديد + cron job + تنزيل web shells متقدمة |
النتائج المحتملة للهجوم
“بعد تنفيذ الحملة بنجاح، يحصل المهاجمون على تحكم كامل في الموقع، مما يتيح لهم القيام بحقن إعلانات مشبوهة، أو إعادة توجيه الزوار إلى مواقع احتيالية، أو حتى إدخال الخادم في شبكة بوت نِت لشن هجمات DDoS.”– فريق Patchstack الأمني
الانتشار والتأثير
- الحملة بدأت في 28 أبريل 2025
- تم رصد الآلاف من الرسائل الإلكترونية المشبوهة
- تم العثور على العديد من المواقع المصابة بوجود الويب شِل P.A.S.-Fork، p0wny، وWSO
إجراءات الحماية والتخفيف
للوقاية من الهجوم
- عدم فتح رسائل بريد إلكتروني غير موثوقة تحتوي على روابط مباشرة للتثبيت
- التأكد من صحة الروابط قبل النقر عليها (فحص اسم النطاق بدقة)
- الاعتماد فقط على تحديثات WooCommerce الرسمية من خلال الموقع الرسمي
في حالة الاشتباه بالإصابة
- مسح المواقع ببرنامج مكافحة البرامج الخبيثة مثل Wordfence أو Sucuri
- مراجعة قائمة المستخدمين والمكونات الإضافية المثبتة
- إعادة تعيين كلمات المرور الرئيسية للموقع وقاعدة البيانات
