كشف باحثون في الأمن السيبراني عن حملة جديدة تستخدم حقن أكواد JavaScript الخبيثة لإعادة توجيه زوار مواقع الويب على الأجهزة المحمولة إلى تطبيق Progressive Web App (PWA) احتيالي يعرض محتوى للبالغين من أصل صيني.
وقال الباحث هيمانشو أناند من c/side في تحليل نُشر الثلاثاء:
“على الرغم من أن الحمولة الخبيثة ليست جديدة (فهي مجرد عملية احتيال أخرى للمقامرة والمحتوى البالغ)، إلا أن طريقة التوصيل تميزت بالابتكار.”
وأضاف:
“الصفحة الاحتيالية عبارة عن تطبيق PWA كامل، مما يساعد المهاجمين على إبقاء المستخدمين لفترة أطول وتجاوز بعض حمايات المتصفح الأساسية.”
كيف يعمل الهجوم؟
-
يستهدف الهجوم مستخدمي الهواتف فقط، مع تصفية مستخدمي أجهزة الكمبيوتر.
-
يعتمد على هجوم من جانب العميل (client-side attack) باستخدام JavaScript تابع لجهات خارجية.
-
يتم تنشيطه فقط عند زيارة الموقع عبر أنظمة Android، iOS، iPadOS.
لماذا يستخدم المهاجمون تطبيقات PWA؟
تطبيقات PWA هي تطبيقات ويب تقدم تجربة مشابهة للتطبيقات الأصلية، وتعمل على مختلف الأنظمة مثل Windows، Linux، macOS، Android، iOS. ويُعتقد أن المهاجمين يستخدمونها لـ:
-
تجنب اكتشاف الحماية الأمنية التقليدية.
-
إبقاء الضحايا محاصرين لفترة أطول داخل التطبيق الاحتيالي.
آلية الاحتيال
-
يتم حقن مواقع الويب بأكواد JavaScript تعمل كـ ناقل للهجوم.
-
عند الزيارة عبر الهاتف، يتم إعادة توجيه الضحية إلى مواقع محتوى بالغ أو صفحات وسيطة تروج لتطبيقات مزيفة.
-
ينتهي الأمر بالمستخدم في متجر تطبيقات وهمي يدّعي تقديم تطبيقات Android وiOS للمحتوى البالغ.
وحذر أناند:
“استخدام PWA يشير إلى أن المهاجمين يختبرون أساليب تصيد أكثر ثباتًا. تركيزهم على الهواتف فقط يساعدهم في تجاوز آليات الكشف التقليدية.”
