كشف باحثو الأمن السيبراني عن حملة جديدة تستهدف مواقع ووردبريس (WordPress) عبر إضافة ضارة تتخفى في صورة إضافة أمان، لكنها في الواقع تمنح المخترقين وصولاً كاملاً إلى لوحة التحكم الإدارية.
كيف تعمل الإضافة الخبيثة؟
تحمل الإاعدة اسم “WP-antymalwary-bot.php”، وتقوم بعدة أنشطة خبيثة، منها:
✔️ إخفاء نفسها من لوحة تحكم ووردبريس.
✔️ تنفيذ أوامر عن بُعد عبر حقن أكواد PHP ضارة.
✔️ التواصل مع خادم تحكم (C&C) لإرسال بيانات الموقع.
✔️ نشر إعلانات مزعجة عبر حقن JavaScript خبيث.
“هذه الإضافة تنتشر في أدلة أخرى بالموقع وتعيد تنشيط نفسها تلقائيًا حتى لو حذفها المدير!” — ماركو ووتشكا، Wordfence
كيف تتم عمليات الاختراق؟
-
الاستفادة من واجهة REST API في ووردبريس لتنفيذ أكواد خبيثة.
-
تعديل ملفات القوالب لحقن أكواد ضارة.
-
إضافة ملف خبيث يعيد تنصيب الإضافة إذا تم حذفها.
من يقف وراء الهجوم؟
رغم عدم وضوح هوية المهاجمين، إلا أن وجود تعليقات ورسائل باللغة الروسية يشير إلى أنهم ناطقون بالروسية.
هجمات أخرى مرتبطة بووردبريس
1. سرقة بيانات الدفع عبر نطاق وهمي
-
يستخدم المهاجمون نطاقًا مزيفًا باسم “italicfonts[.]org” لعرض نموذج دفع مزيف على صفحات إنهاء الطلب.
-
يتم سرقة بيانات البطاقات الائتمانية وإرسالها إلى خوادم المخترقين.
2. هجوم متطور على متاجر Magento
-
يستهدف الهجوم متاجر Magento عبر:
-
صورة GIF مزيفة (في الواقع هي نص PHP يعمل كخادم وكيل عكسي).
-
تعديل حركة المرور لسرقة كلمات السر، الكوكيز، ومعلومات الدفع.
-
3. استغلال إعلانات Google AdSense
-
تم حقن أكواد إعلانات مزيفة في 17 موقع ووردبريس على الأقل.
-
الهدف: تحقيق أرباح غير مشروعة من النقرات أو المشاهدات.
“قد يسرق المهاجمون أرباحك من الإعلانات إذا كنت تستخدم AdSense!” — بوجا سريفاستافا، باحثة أمنية
4. اختراق عبر CAPTCHA مزيفة
-
تظهر للمستخدمين نافذة CAPTCHA خادعة تدفعهم لتنزيل برمجيات خبيثة.
-
هذه البرمجيات تعمل كـ أبواب خلفية (Backdoor) تجمع معلومات النظام وتنشئ نفقًا للاتصال عبر وكيل SOCKS5.
كيف تحمي موقعك؟
-
تجنب تنصيب إضافات من مصادر غير موثوقة.
-
فحص الملفات المشبوهة أو الإضافات غير المعروفة.
-
مراقبة حركة المرور لاكتشاف أي اتصالات غير طبيعية.
-
تحديث ووردبريس وجميع الإضافات باستمرار.
