شهدت الساحة السيبرانية حملة هجوم جديدة أدت إلى اختراق أكثر من 3500 موقع إلكتروني حول العالم عبر زرع أكواد JavaScript خبيثة مخصصة لتعدين العملات الرقمية، في عودة مفاجئة لنمط الهجمات المعروف باسم “تعدين المتصفح” الذي اشتهر سابقًا مع أدوات مثل CoinHive.
ورغم توقف CoinHive عن العمل بعد أن حظرته المتصفحات الكبرى، اكتشف باحثون من شركة c/side نوعًا جديدًا من أدوات التعدين يتميز بالتخفي، حيث يختبر قدرة الجهاز الحاسوبية ويستغل خاصية “Web Workers” لتشغيل عمليات التعدين في الخلفية بشكل متوازي دون إثارة الشكوك.
التحايل عبر WebSocket وتقنين استهلاك الموارد
اللافت في هذه الحملة أنها تستخدم اتصالات WebSocket لسحب مهام التعدين من خادم خارجي، مما يسمح بتعديل شدة التعدين ديناميكيًا وفق إمكانات الجهاز المستهدف، وبالتالي تقنين استهلاك الموارد للحفاظ على مستوى عالٍ من التمويه.
وأوضح الباحث الأمني “هيمنشو أناند” أن “أداة التعدين هذه مصممة لتفادي الكشف، إذ تعمل بصمت تام دون أن يلاحظها المستخدم أو أن ترصدها أدوات الحماية”.
الضحايا يشاركون في التعدين دون علمهم
تؤدي هذه الطريقة إلى تحويل أجهزة الزوار إلى منصات لتوليد العملات الرقمية دون علمهم أو موافقتهم، إذ يُزرع كود التعدين في الموقع المصاب ويبدأ العمل فور زيارة المستخدم له.
ولا تزال الطريقة التي يُخترق بها الموقع الإلكتروني لحقن كود التعدين غير معروفة حتى الآن.
روابط بحملات Magecart وسرقة بطاقات الدفع
كشفت تحليلات إضافية أن نطاق الاستضافة المستخدم في تحميل كود التعدين مرتبط أيضًا بحملات Skimming نفذتها مجموعات Magecart لسرقة بيانات بطاقات الدفع في السابق، ما يشير إلى مسعى القراصنة لتوسيع أدواتهم وزيادة مصادر الربح.
ويشير استخدام نفس النطاقات في نشر أدوات التعدين وسرقة البطاقات إلى قدرة المهاجمين على توظيف JavaScript في تنفيذ هجمات انتهازية تستهدف الزوار العاديين للمواقع.
موجة هجمات خادعة تستغل واجهات المستخدم
وقالت شركة c/side إن “المهاجمين أصبحوا يفضلون التمويه بدلاً من سرقة الموارد بشكل فظ، مستخدمين أدوات مثل التشفير وWebSocket وإعادة استخدام البنية التحتية للإبقاء على الهجمات سرية. الهدف لم يعد إفراغ موارد الجهاز دفعة واحدة، بل الاستنزاف البطيء والمستمر… كأنهم مصاصو دماء رقميون”.
وتتزامن هذه النتائج مع حملة جديدة لمجموعة Magecart استهدفت مواقع تجارة إلكترونية في شرق آسيا تستخدم نظام OpenCart، حيث تم حقن نموذج دفع مزيف في صفحة إتمام الشراء لسرقة البيانات المالية للمستخدمين، ومن ثم إرسالها إلى خوادم المهاجمين.
أنماط الهجمات الجديدة التي طالت مواقع WordPress
وقد رُصدت خلال الأسابيع الأخيرة مجموعة من الهجمات التي تركز على الواجهة العميلية (client-side) وعلى منصات إدارة المحتوى مثل WordPress، من أبرزها:
-
إدراج JavaScript ضار في خاصية callback ضمن عنوان مصادقة Google الشرعي (accounts.google[.]com/o/oauth2/revoke)، والذي يعيد التوجيه إلى حمولة JavaScript مشفّرة تفتح اتصال WebSocket بخادم المهاجم.
-
حقن شيفرة Google Tag Manager في قاعدة بيانات WordPress (ضمن جداول wp_options وwp_posts) لتحميل JavaScript عن بُعد يعيد توجيه الزائرين إلى أكثر من 200 موقع عشوائي ومزعج.
-
تعديل ملف wp-settings.php في موقع WordPress لحقن سكربت PHP خبيث مأخوذ من ملف ZIP يتصل بخادم C2 للتحكم عن بعد، ويستغل ترتيب الموقع في نتائج البحث لنشر محتوى مزعج.
-
زرع شيفرة خبيثة في ملف footer الخاص بالقالب المستخدم في الموقع لتوجيه المتصفحات إلى روابط ضارة.
-
إنشاء إضافة WordPress وهمية تحمل اسم الموقع المصاب وتبقى خاملة حتى تكتشف روبوتات محركات البحث، فتبدأ بعرض محتوى مزيف لتحسين ترتيب مواقع المهاجمين في نتائج البحث.
-
نشر نسخ مخترقة من إضافة Gravity Forms (الإصدارات 2.9.11.1 و2.9.12 فقط) من خلال صفحة التنزيل الرسمية، في هجوم على سلسلة التوريد يتيح تحميل حمولات إضافية وإنشاء حساب مدير خفي يمنح المهاجم صلاحية التحكم الكامل بالموقع.
وأكد فريق Gravity Forms التابع لشركة RocketGenius أنه “إذا تم تثبيت الإصدارات المصابة، فستمنع الشيفرة الخبيثة تحديث الحزمة، وستحاول التواصل مع خادم خارجي لتحميل حمولة إضافية. وإذا نجحت، فستقوم بإنشاء حساب إداري جديد، مما يفتح الباب أمام سلسلة من الأعمال التخريبية تشمل توسيع الوصول عن بُعد، وحقن أكواد إضافية، والتلاعب بالحسابات الإدارية، والوصول إلى بيانات WordPress المحفوظة”.
