تشهد حملة اختراق مستمرة استهداف مواقع شرعية عبر حقن أكواد JavaScript ضارة للترويج لمنصات قمار صينية، مما أدى حتى الآن إلى اختراق حوالي 150,000 موقع.
ووفقًا لتحليل جديد أجراه خبير الأمن الإلكتروني هيمنشو أناند، فإن الجهة الفاعلة وراء التهديد قامت بتعديل بسيط في واجهتها، لكنها لا تزال تعتمد على حقن iframe لعرض نافذة كاملة تغطي شاشة الزائر داخل المتصفح.
وحتى لحظة كتابة هذا التقرير، هناك أكثر من 135,800 موقع يحتوي على هذا الكود الضار، وفقًا لبيانات PublicWWW.
كيف يعمل الهجوم؟
🔹 يتم حقن JavaScript ضار في مواقع الويب لإعادة توجيه زوارها إلى صفحات تروج لمنصات القمار.
🔹 تُستخدم خمس نطاقات مختلفة لاستضافة أكواد JavaScript الضارة، مثل: “zuizhongyj[.]com”.
🔹 يتم التلاعب بمحتوى المواقع المخترقة لعرض واجهة زائفة تشبه مواقع رهانات معروفة مثل Bet365، باستخدام شعارات وعناصر رسمية لخداع المستخدمين.
🔹 تعتمد الهجمات على تقنيات إخفاء متطورة عبر CSS لعرض صفحات القمار بدلاً من المحتوى الأصلي.
🎙️ تعليق أمني:
“هذا الهجوم يعكس كيفية تطور مجرمي الإنترنت باستمرار لتعزيز انتشارهم، مع زيادة في استخدام تقنيات التعتيم”, وفقًا لأناند.
اختراقات واسعة النطاق تستهدف مواقع ووردبريس
🛑 يأتي هذا الكشف بالتزامن مع إعلان GoDaddy عن تفاصيل حملة قرصنة طويلة الأمد تُعرف باسم DollyWay World Domination، والتي تسببت في اختراق أكثر من 20,000 موقع عالميًا منذ 2016، منها 10,000 موقع ووردبريس حتى فبراير 2025.
🔸 تعتمد هذه الهجمات على حقن أكواد إعادة توجيه، تعمل عبر شبكة TDS (نظام توجيه المرور) مستضافة على مواقع مخترقة.
🔸 يتم توجيه الزوار إلى صفحات احتيالية عبر شبكات تسويق خبيثة مثل VexTrio، وهي من أكبر شبكات الشراكة الإجرامية في العالم.
🔸 تعتمد على تقنيات DNS متقدمة، وأنظمة توزيع المرور، وخوارزميات توليد النطاقات لنشر البرمجيات الخبيثة عالميًا.
كيف يحدث الاختراق؟
🔻 يتم إدخال كود خبيث ديناميكيًا داخل مواقع ووردبريس، مما يؤدي إلى إعادة توجيه المستخدمين إلى روابط VexTrio أو LosPollos.
🔻 يتم استخدام إعلانات شبكات مثل PropellerAds لاستثمار حركة المرور المخترقة.
🔻 يتم إدخال كود PHP ضار داخل إضافات ووردبريس النشطة، إلى جانب:
✔️ تعطيل إضافات الأمان.
✔️ حذف حسابات المسؤولين الشرعيين.
✔️ سرقة بيانات تسجيل الدخول الحقيقية للمشرفين.
📊 كشفت GoDaddy أن شبكة DollyWay TDS تستغل أكثر من 9-10 ملايين زيارة شهرية عبر مواقع ووردبريس المخترقة.
وفي نوفمبر 2024، قام مشغلو DollyWay بحذف عدة خوادم خاصة بهم، مما أدى إلى بعض الانقطاعات. ومع ذلك، استمروا في استخدام قنوات تيليغرام لتوزيع روابط إعادة التوجيه.
🎯 تأثير الحملة الإلكترونية
🔸 تكشف هذه الهجمات عن تصاعد الهجمات من جهة العميل (Client-side Attacks)، مما يزيد من خطورة التهديدات الإلكترونية.
🔸 تُظهر القدرة العالية للمهاجمين على التكيف السريع والانتقال إلى استراتيجيات بديلة عند تعطيل بعض بنيتهم التحتية.
📢 تحذير أمني:
على مالكي المواقع، خاصة ووردبريس، اتخاذ تدابير وقائية، مثل:
✅ تحديث جميع الإضافات والأنظمة الأساسية.
✅ تثبيت حلول أمان قوية لمراقبة الأنشطة المشبوهة.
✅ مراجعة أي كود غريب ضمن ملفات الموقع.
