23
اكتشف باحثو الأمن السيبراني حملة جديدة تستهدف مواقع ووردبريس عبر إضافة أمان وهمية تبدو شرعية، لكنها تحمل بداخلها تعليمات برمجية خبيثة تسمح بسرقة بيانات المستخدمين وإخفاء بوابات خلفية داخل الموقع.
تفاصيل الحملة
الآلية الأساسية
- استخدام ملف **GIF وهمي** هو في الحقيقة **Webshell PHP**
- إخفاء البرمجيات الضارة داخل تخزين المتصفح (
sessionStorage) - التلاعب بالصفحات باستخدام **Reverse Proxy خبيث**
- جمع بيانات حساسة مثل:
- بيانات بطاقات الائتمان
- كلمات المرور
- ملفات تعريف الارتباط (Cookies)
- بيانات تسجيل الدخول
المرحلة الأولى من الهجوم
- استهداف مواقع ووردبريس عبر إضافة تُدعى أنها “أداة أمان”
- الحقن يتم عبر تعديل ملفات القوالب أو الإضافات
- التحكم في طريقة معالجة الصفحات لتمرير البيانات عبر خادم Proxy خبيث
- التركيز على صفحات الدفع أو تسجيل الدخول لجمع البيانات
المرحلة الثانية من الاستغلال
- استخدام التشفير لتضليل أدوات الفحص الأولية
- تشغيل الأكواد فقط عند زيارة صفحة حساسة (Conditional Execution)
- تحويل البيانات المسروقة إلى نقطة تحكم بعيدة
الإضافات المشبوهة المعروفة
الإضافات التي تم رصدها تحتوي على التعليمات البرمجية الخبيثة:
- SecurityCheck Pro
- WP SafeGuard
- SiteLock – Website Security
هذه الإضافات تظهر وكأنها تقدم خدمات أمنية، لكنها في الواقع تفتح بابًا خلفيًا للمهاجمين.
حقن إعلانات Google AdSense مشبوهة
تم رصد أكثر من 17 موقعًا مبنيًا على ووردبريس تم استهدافها:
- حقن أكواد Google AdSense غير مصرح بها
- عرض إعلانات غير مرغوب فيها وتحقيق دخل من النقرات
- في حال كان الموقع يستخدم AdSense رسميًا، فإن الإيرادات تُسرق وتذهب للمهاجمين
الهجمات الثانوية: CAPTCHA خبيث وبوابة خلفية
| المرحلـة | التفصيل |
| 1. تنفيذ CAPTCHA وهمي | عرض نافذة CAPTCHA على زوار المواقع المصابة |
| 2. تنزيل برنامج خبيث | عندما ينقر المستخدم على CAPTCHA، يبدأ تنزيل ملف Node.js ضار |
| 3. تنفيذ البوابة الخلفية | يبدأ البرنامج في جمع معلومات النظام وفتح قناة اتصال عن بُعد |
| 4. استخدام SOCKS5 Proxy | تحويل المرور الضار عبر خادم Proxy مموَّه |
الجهة المسؤولة عن الهجوم
أرجعت شركة Trustwave SpiderLabs هذا الهجوم إلى شبكة توزيع ترافيك معروفة باسم:
- Kongtuke
- وتُعرف أيضًا باسم:
- 404 TDS
- Chaya_002
- LandUpdate808
- TAG-124
الشبكة تُستخدم لشن هجمات متقدمة تستهدف المواقع لتحويل الزوار إلى نقاط استغلال.
ماذا يجب على أصحاب المواقع فعله؟
- مراجعة جميع الإضافات المثبتة والتأكد من مصادرها الرسمية
- فحص الشفرة المصدرية للأضافة بحثًا عن أي تعديل غير طبيعي
- مسح شامل للموقع باستخدام أدوات أمنية مثل Wordfence أو Sucuri
- التحقق من وجود ملفات غير معروفة مثل
.gif.phpأو.jpg.php - مراجعة سجلات الوصول بحثًا عن عمليات تنزيل أو تنفيذ غير عادية
- إيقاف تشغيل أي إضافات غير مُحدَّثة منذ فترة طويلة
نصائح فورية للحماية
- استخدم ماسح أمني لمراجعة الملفات المعدلة مؤخرًا
- راجع قائمة الإضافات المثبتة واحذف أي منها غير ضروري
- تأكد من تحديث جميع الإضافات والمظهر الخارجي (Themes) إلى آخر إصدار
- قم بإعداد نسخ احتياطية منتظمة من قاعدة البيانات والملفات
- راقب استخدام المنفذين 8080 و3000 حيث قد تشير إلى استخدام Node.js خبيث
رأي الباحثين الأمنيين
“البرنامج الخبيث ليس مجرد أداة سرقة بيانات، بل هو بوابة خلفية متقدمة تدعم التحكم الكامل في الموقع واستهداف الزوار.”– فريق Trustwave SpiderLabs
