مفهوم – تم هذا الشهر اختراق الآلاف من مواقع الويب التي تستخدم نظام إدارة المحتوى المعروف باسم ووردبرس WordPress المطور من قبل شركة أوتوماتيك Automattic من خلال التعليمات البرمجية الخبيثة، وذلك وفقًا لباحثين أمنيين في Sucuri و Malwarebytes، حيث يبدو أن جميع عمليات الاختراق تتبع نمطًا مشابهًا يتمثل في تحميل تعليمات برمجية خبيثة من أحد عوامل التهديد المعروفة.
سر إختراق آلاف المواقع تستخدم ووردبرس: ويعتقد الباحثون أن الهاكرز يكتسبون إمكانية الوصول إلى هذه المواقع ليس عن طريق استغلال العيوب في نظام ووردبرس WordPress نفسه، ولكن من خلال نقاط الضعف في الثيمات القديمة المستخدمة والمكونات الإضافية المثبتة، حيث يقوم الهاكزر عندما يتمكنون من الوصول إلى الموقع بزرع باب خلفي، وذلك في سبيل الحصول على إمكانية الوصول في المستقبل وإجراء التعديلات على التعليمات البرمجية للموقع الضحية.
ويعمد الهاكرز في معظم الحالات إلى تعديل ملفات PHP أو جافا سكريبت JavaScript لتحميل التعليمات البرمجية الضارة، وذلك على الرغم من أن بعض المستخدمين قد أبلغوا عن رؤية التعديلات التي تم إجراؤها على جداول قاعدة البيانات أيضًا.
وقال جيروم سيغورا Jérôme Segura، الباحث الأمني في Malwarebytes إن هذه التعليمات البرمجية الخبيثة تقوم بتصفية المستخدمين الذين يزورون المواقع المخترقة وتعيد توجيه البعض إلى مواقع دعم فني مخادعة، ويضيف أن بعض أنماط الزيارات التي تتم مشاهدتها أثناء عملية إعادة التوجيه تتطابق مع أنماط نظام توزيع حركة المرور المعروف الذي تستخدمه العديد من حملات توزيع البرامج الضارة.
كما قال سيغورا إن بعض مواقع الدعم الفني المخادعة المستخدمة والتي يتم توجيه المستخدمين إليها تستعمل هجوم “المؤشر الشرير” في متصفح جوجل كروم لمنع المستخدمين من إغلاق علامة تبويب الموقع الخبيث، ووفقًا للباحث فإنه من الواضح أن هذه الحملة لاختراق مواقع ووردبرس WordPress قد بدأت هذا الشهر، وتكثفت في الأيام الأخيرة.
وقد يكون هذا النشاط نتيجة لقرار اتخذته شركة جوجل مؤخرًا بحظر إعلانات الدعم الفني من مشغلين لم يتم التحقق منهم، ويجري تطبيق هذه السياسة الجديدة خلال الفترة القادمة، وتم الإعلان عنها بتاريخ 31 أغسطس، أي بشكل يتزامن مع بداية هذا النشاط الذي لاحظته شركة Malwarebytes في أوائل شهر سبتمبر.
وتتبع الهجمات التي تمت ملاحظتها مؤخرًا الطريقة التقليدية لإقناع المستخدمين بالاتصال بالدعم الفني، والتي تتمثل بإعادة توجيههم إلى صفحة تعرض تحذيرًا حول الفيروسات التي تتفشى على الحاسب ورقم هاتف دعم مجاني.
وقال سيغورا إن عمليات إعادة التوجيه إلى الدعم الفني ليست النشاط الوحيد الذي يلاحظه ضمن هذه الهجمات، وأضاف أنه شاهد حملات تهدف إلى إعادة توجيه المستخدمين إلى مواقع ويب محقونة بتعليمات جافا سكريبت لتعدين العملات الرقمية المشفرة، مما يسمح للمهاجم باستغلال موارد أجهزة المستخدمين لتعدين عملة مونيرو Monero المشفرة طالما أن الصفحة المخترقة مفتوحة.
وتكشف عملية بحث عن أجزاء من تعليمات جافا سكريبت JavaScript الخبيثة التي تم إضافتها إلى مواقع ووردبرس WordPress المستولى عليها جزءًا صغيرًا فقط من العدد الإجمالي للمواقع المخترقة، حيث أسفرت عملية البحث عن أكثر من 2500 نتيجة، بما في ذلك موقع شركة تابع لشركة Expedia Group العالمية المتخصصة في تكنولوجيا السفر.