حذّر باحثو الأمن السيبراني من حملة خبيثة تستهدف مواقع WordPress لإدخال شيفرات JavaScript ضارة تُعيد توجيه زوّار المواقع إلى صفحات تصيّد وتوزيع برمجيات خبيثة، في موجة تظهر تطور أساليب الاحتيال الاجتماعي وتقنيات التحميل الديناميكي للحمولات.
كيف تجري الإصابة — حقن “functions.php” وتحميل شيفرات عن بُعد
بدأت التحقيقات بعد شكوى من عميل لشركة Sucuri، حيث لاحظ فريق الشركة أن أحد مواقع WordPress يخدم شيفرة JavaScript طرف ثالث مشبوهة لزوّار الموقع. ثم تبين أن المهاجمين أدخلوا تغييرات خبيثة على ملف متعلق بالقالب باسم functions.php. الشيفرة المدرجة تُدرج إشارات إلى إعلانات Google كستار تهرب من الكشف، لكنها تعمل فعليًا كـ لودر عن بُعد عبر إرسال طلب HTTP POST إلى النطاق brazilc[.]com. يرد هذا النطاق بحمولات ديناميكية تضم مكوّنين أساسيين:
-
ملف JavaScript مستضافًا على porsasystem[.]com (تم رصد الإشارة إليه على 17 موقعًا حتى وقت النشر) يحتوي على شيفرة لإجراء عمليات إعادة توجيه.
-
شيفرة JavaScript تُنشئ إطارًا مخفيًا (iframe) بحجم 1×1 بكسل، وتحقن داخله كودًا يُقلّد أصولًا شرعية مثل ملفات Cloudflare (مثال: cdn-cgi/challenge-platform/scripts/jsd/main.js) المستخدمة في أنظمة كشف البوتات.
وقال باحثو Sucuri إن نطاق porsasystem[.]com مُرتبط بنظام توزيع حركة خبيث (TDS) يُعرف باسم Kongtuke (المعروف أيضًا 404 TDS وChaya_002 وLandUpdate808 وTAG-124).
سلسلة العدوى النهائية: ClickFix وسرقة البيانات عبر صفحات مخصصة
وفقًا لتغريدة منشورة على Mastodon من حساب باسم “monitorsg” بتاريخ 19 سبتمبر 2025، تبدأ السلسلة عندما يزور المستخدم موقعًا مخترقًا فيُحمّل porsasystem[.]com/6m9x.js، الذي يستدعي لاحقًا porsasystem[.]com/js.php ويقود الضحية إلى صفحات على نمط ClickFix تُستخدم لتوزيع برمجيات خبيثة.
تكمن خطورة آلية ClickFix في تقليدها لصفحات تحدي التحقق من المتصفّح (مثل صفحات CDN وCloudflare)، مما يجعل الضحية يثق في الواجهة ويُنفّذ إجراءات يدوية يطلبها المحتال (مثل لصق أوامر في مربع Run أو المتصفح) تؤدي إلى تنفيذ سكربتات PowerShell أو تحميل أدوات سرقة معلومات مثل DeerStealer وOdyssey Stealer (الموجه خصيصًا لأنظمة macOS في بعض الحالات).
صعود أدوات بناء صفحات ClickFix (IUAM ClickFix Generator) وتقنيات التملص من الحماية
أشار تقرير Palo Alto Networks Unit 42 إلى وجود كيِت تصيّد يُدعى IUAM ClickFix Generator يتيح للمهاجمين إنشاء صفحات هبوط قابلة للتخصيص تحاكي سلوك صفحة التحقق من المتصفّح، بما في ذلك وظائف التلاعب بالحافظة (clipboard) والكشف عن نظام التشغيل لتكييف مسار العدوى وتقديم الحمولة الملائمة. هذا الكيِت، وغيرها من منشئي الصفحات التجارية التي انتشرت منذ نهاية 2024، تخفّض حاجز الدخول أمام المجرمين وتوفّر لهم بناء صفحات تقنع الضحية وتزعم تجاوز حماية مضادات الفيروسات أو SmartScreen.
ابتكار التملّص: “تسميم الكاش” (Cache Smuggling) لتفادي الكشف
طور باحثو شركة Expel نسخة متقدمة من هجوم ClickFix تستخدم تقنية تُسمى cache smuggling، حيث لا ينزل السكربت أي ملفات صريحة إلى الجهاز ولا يتواصل لاحقًا مع خادم المهاجم. بدلًا من ذلك، تُستغل ذاكرة التخزين المؤقت (كاش) في المتصفح لتخزين بيانات تبدو كملف صورة (image/jpeg) لكنها في الحقيقة أرشيف مضغوط يحوي حمولة خبيثة. ثم يُفعّل سكربت PowerShell أمرًا مخفيًا يستخرج المحتوى من الكاش وينفّذ الشيفرة محليًا عبر conhost.exe، ما يجعل عملية الاكتشاف أصعب لأن لا تنزيلات ظاهرة تحدث أثناء تنفيذ الهجوم.
توصيات الحماية والوقاية
-
حافظوا على تحديث WordPress والقوالب والإضافات فور صدور التحديثات، وفحصوا ملفات القالب خاصة functions.php لأي تعديلات غير مصرح بها.
-
نفّذوا فحوصًا دورية لاكتشاف حسابات المدير (administrator) غير المتوقعة ومسارات الوصول المشبوهة.
-
طبّقوا حلول حماية من التلاعب بالملفات وفحص تكوينات الخوادم، واستخدموا قوائم حظر للمجالات المعروفة بنشاط TDS.
-
درّبوا الموظفين على أشكال الاحتيال الاجتماعي مثل ClickFix، ولا تسمحوا بتنفيذ أوامر يدوية عبر Run أو لصق أوامر من مصادر غير موثوقة.
-
راقبوا سلوك المتصفحات ومحاولات إنشاء iframes مخفية أو طلبات POST غير عادية، واعتمدوا سياسات أمان المحتوى (CSP) للتقليل من مخاطر تحميل سكربتات طرف ثالث.
