يتم اختراق مواقع WordPress لتثبيت المكونات الإضافية الضارة التي تعرض تحديثات البرامج المزيفة والأخطاء لدفع البرامج الضارة التي تسرق المعلومات.
على مدى العامين الماضيين، أصبحت البرمجيات الخبيثة التي تقوم بسرقة المعلومات آفة للمدافعين عن الأمن في جميع أنحاء العالم حيث يتم استخدام بيانات الاعتماد المسروقة لاختراق الشبكات وسرقة البيانات.
منذ عام 2023، تم استخدام حملة ضارة تسمى ClearFake”https://www.bleepingcomputer.com/news/security/atomic-stealer-malware-strikes-macos-via-fake-browser-updates/” الهدف=”_blank”> عرض لافتات تحديث متصفح الويب المزيفة على مواقع الويب المخترقة التي توزع برامج ضارة لسرقة المعلومات.
في عام 2024، تم تقديم حملة جديدة تسمى ClickFix والتي تشترك في العديد من أوجه التشابه مع ClearFake ولكنها بدلاً من ذلك تتظاهر بأنها رسائل خطأ برمجية مع إصلاحات مضمنة. ومع ذلك، هذه “fixes” هي نصوص PowerShell البرمجية التي، عند تنفيذها، ستقوم بتنزيل وتثبيت برامج ضارة لسرقة المعلومات.
المصدر: بليبينج كومبيوتر
أصبحت حملات ClickFix شائعة بشكل متزايد هذا العام، حيث قامت الجهات الفاعلة في مجال التهديد باختراق المواقع لعرض لافتات تظهر أخطاء زائفة لها”https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/” الهدف=”_blank”>جوجل كروم,”https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/” الهدف=”_blank”> مؤتمرات Google Meetوالفيسبوك، وحتى صفحات الكابتشا.
ملحقات ووردبريس الضارة
الأسبوع الماضي،”https://www.godaddy.com/resources/news/threat-actors-push-clickfix-fake-browser-updates-using-stolen-credentials” الهدف=”_blank” rel=”nofollow noopener”> ذكرت GoDaddy أن الجهات الفاعلة في تهديد ClearFake/ClickFix قد اخترقت أكثر من 6000 موقع WordPress لتثبيت مكونات إضافية ضارة تعرض التنبيهات المزيفة المرتبطة بهذه الحملات.
“The GoDaddy Security team is tracking a new variant of ClickFix (also known as ClearFake) fake browser update malware that is distributed via bogus WordPress plugins,” يشرح الباحث الأمني في GoDaddy”https://x.com/unmaskparasites” الهدف=”_blank” rel=”nofollow noopener”> دينيس سينيجوبكو.
“These seemingly legitimate plugins are designed to appear harmless to website administrators but contain embedded malicious scripts that deliver fake browser update prompts to end-users.”
تستخدم المكونات الإضافية الضارة أسماء مشابهة للمكونات الإضافية الشرعية، مثل Wordfense Security وLiteSpeed Cache، بينما يستخدم البعض الآخر أسماء عامة ومختلقة.
قائمة المكونات الإضافية الضارة التي تمت مشاهدتها في هذه الحملة بين يونيو وسبتمبر 2024 هي:
| لايت سبيد كاش كلاسيك | حاقن CSS مخصص |
| مونستر إنسايتس كلاسيك | مولد تذييل مخصص |
| Wordfence الأمن الكلاسيكي | مصمم تسجيل الدخول المخصص |
| محسن رتبة البحث | مدير الشريط الجانبي الديناميكي |
| كبار المسئولين الاقتصاديين الداعم برو | مدير المواضيع السهلة |
| جوجل كبار المسئولين الاقتصاديين محسن | منشئ النماذج برو |
| رتبة الداعم برو | منظف ذاكرة التخزين المؤقت السريع |
| مخصص شريط المسؤول | منشئ القائمة المستجيبة |
| مدير المستخدم المتقدم | كبار المسئولين الاقتصاديين محسن برو |
| إدارة القطعة المتقدمة | محسن وظيفة بسيطة |
| مانع المحتوى | متكامل وسائل الاعلام الاجتماعية |
شركة أمن المواقع”https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html” الهدف=”_blank” rel=”nofollow noopener”> سوكوري وأشار أيضا إلى أن البرنامج المساعد وهمية اسمه “Universal Popup Plugin” هو أيضا جزء من هذه الحملة.
عند التثبيت، سيقوم البرنامج الإضافي الضار بربط إجراءات WordPress المختلفة اعتمادًا على المتغير لإدخال برنامج JavaScript ضار في HTML الخاص بالموقع.
المصدر: جودادي
عند تحميله، سيحاول هذا البرنامج النصي تحميل ملف JavaScript ضار آخر مخزن في ملف”https://www.bleepingcomputer.com/news/security/hackers-use-binance-smart-chain-contracts-to-store-malicious-scripts/” الهدف=”_blank”> العقد الذكي لسلسلة Binance الذكية (BSC).، والذي يقوم بعد ذلك بتحميل البرنامج النصي ClearFake أو ClickFix لعرض الشعارات المزيفة.
من سجلات الوصول إلى خادم الويب التي حللها Sinegubko، يبدو أن الجهات الفاعلة في التهديد تستخدم بيانات اعتماد المسؤول المسروقة لتسجيل الدخول إلى موقع WordPress وتثبيت المكون الإضافي بطريقة تلقائية.
كما ترون من الصورة أدناه، يقوم ممثلو التهديد بتسجيل الدخول عبر طلب POST HTTP واحد بدلاً من زيارة صفحة تسجيل الدخول الخاصة بالموقع أولاً. يشير هذا إلى أنه يتم ذلك بطريقة آلية بعد الحصول على بيانات الاعتماد بالفعل.
بمجرد تسجيل دخول جهة التهديد، فإنها تقوم بتحميل وتثبيت البرنامج الإضافي الضار.
المصدر: جودادي
في حين أنه من غير الواضح كيف تحصل الجهات الفاعلة في مجال التهديد على بيانات الاعتماد، يشير الباحث إلى أنه يمكن أن يكون ذلك من خلال هجمات القوة الغاشمة السابقة والتصيد الاحتيالي والبرامج الضارة لسرقة المعلومات.
إذا كنت تستخدم WordPress وتتلقى تقارير عن تنبيهات زائفة يتم عرضها للزائرين، فيجب عليك فحص قائمة المكونات الإضافية المثبتة على الفور، وإزالة أي منها لم تقم بتثبيتها بنفسك.
إذا وجدت مكونات إضافية غير معروفة، فيجب عليك أيضًا إعادة تعيين كلمات المرور لأي مستخدم إداري على الفور إلى كلمة مرور فريدة تُستخدم فقط في موقعك.