وجد الباحثون الأمن أن المتسللين يستغلون إصدارات قديمة من WordPress والإضافات لتغيير آلاف المواقع الإلكترونية في محاولة لخداع الزوار لتنزيل وتثبيت البرامج الضارة.
لا تزال حملة القرصنة “حية للغاية”.
هدف المتسللين هو نشر البرامج الضارة القادرة على سرقة كلمات المرور والمعلومات الشخصية الأخرى من كل من مستخدمي Windows و Mac. يتم تصنيف بعض المواقع التي تم اختراقها بين المواقع الأكثر شعبية على الإنترنت ، وفقًا لـ C/Side.
وقال هيمانشو أناند ، الذي كتب نتائج الشركة ، لـ TechCrunch: “هذا هجوم واسع النطاق وتجاري للغاية”. وقال أناند إن الحملة هي هجوم “رذاذ ودفع” يهدف إلى تسوية أي شخص يزور هذه المواقع بدلاً من استهداف شخص معين أو مجموعة من الأشخاص.
عندما يتم تحميل مواقع WordPress المخترقة في متصفح المستخدم ، يتغير المحتوى بسرعة لعرض صفحة تحديث متصفح Chrome المزيفة ، وطلب تنزيل زائر موقع الويب وتثبيته لعرض موقع الويب. إذا قبل أحد الزائر التحديث ، فإن موقع الويب الذي تم اختراقه سيطالب الزائر بتنزيل ملف ضار محدد يتنكر مع التحديث ، اعتمادًا على ما إذا كان الزائر على جهاز كمبيوتر يعمل بنظام Windows أو جهاز Mac.
قال Wijckmans إنهم نبهوا Automattic ، الشركة التي تقوم بتطوير وتوزيع WordPress ، حول حملة القرصنة وأرسلت لهم قائمة المجالات الضارة ، وأن اتصالهم في الشركة أقر باستلام بريدهم الإلكتروني.
عندما وصلت إليها TechCrunch قبل النشر ، لم تعلق ميغان فوكس ، المتحدثة باسم Automattic ،.
قال C/Side إنه حدد أكثر من 10000 موقع ويب يبدو أنه تم اختراقه كجزء من حملة القرصنة هذه. وقال Wijckmans إن الشركة اكتشفت البرامج النصية الخبيثة على عدة مجالات عن طريق تزحف الإنترنت ، وأداء بحث عكسي DNS ، وهي تقنية للعثور على المجالات ومواقع الويب المرتبطة بعنوان IP معين ، والتي كشفت عن المزيد من المجالات التي تستضيف البرامج النصية الخبيثة.
لم يتمكن TechCrunch من تأكيد دقة أرقام C/Side ، لكننا رأينا موقع WordPress الذي تم اختراقه لا يزال يعرض المحتوى الضار يوم الثلاثاء.
من WordPress إلى البرامج الضارة
يُعرف النوعان من البرامج الضارة التي يتم دفعها على مواقع الويب الضارة باسم AMOS (أو Amos Atomic Stealer) ، والتي تستهدف مستخدمي MacOS ؛ و Socgholish ، التي تستهدف مستخدمي Windows.
في مايو 2023 ، نشرت شركة الأمن السيبراني Sentinelone تقريراً عن AMOS ، وتصنيف البرامج الضارة على أنها Infostealer ، ونوع من البرامج الضارة المصممة لإصابة أجهزة الكمبيوتر وسرقة أكبر عدد ممكن لمواصلة اقتحام حسابات الضحية وسرقة عملتها الرقمية. ذكرت شركة Cyble الأمن السيبراني في ذلك الوقت أنها وجدت أن المتسللين كانوا يبيعون الوصول إلى البرامج الضارة AMOS على Telegram.
وقال باتريك واردل ، وهو خبير أمن في ماكوس ومؤسس مشارك لبدء تشغيل الأمن السيبراني الذي تركز على أبل ، لـ TechCrunch إن Amos “بشكل قاطع السارق الأكثر غزارة على MacOS” ، وقد تم إنشاؤه مع نموذج أعمال الخدمات الضريبية كخدمة ، وهذا يعني ، بمعنى يقوم مطورو وأصحاب البرامج الضارة ببيعها للمتسللين الذين ينشرونها بعد ذلك.
أشار واردل أيضًا إلى أنه لكي يقوم شخص ما بتثبيت الملف الضار الذي وجدته C/Side بنجاح “لا يزال يتعين على المستخدم تشغيله يدويًا ، والقفز عبر الكثير من الأطواق لتجاوز أمان Apple المدمج.”
على الرغم من أن هذا قد لا يكون حملة القرصنة الأكثر تقدماً ، نظرًا لأن المتسللين يعتمدون على أهدافهم ليقعوا في صفحة التحديث المزيفة ثم تثبيت البرامج الضارة ، فهذا تذكير جيد لتحديث متصفح الكروم الخاص بك من خلال ميزة تحديث البرامج المدمجة الخاصة به وتثبيت التطبيقات الموثوقة فقط على أجهزتك الشخصية.
تم إلقاء اللوم على البرامج الضارة لسرقة كلمة المرور وسرقة بيانات الاعتماد في بعض أكبر الاختراقات والانتهاكات في التاريخ. في عام 2024 ، قام المتسللون بتجميع حسابات عمالقة الشركات الذين استضافوا بياناتهم الحساسة مع Snowflake العملاقة الحوسبة السحابية باستخدام كلمات المرور المسروقة من أجهزة كمبيوتر موظفي عملاء Snowflake.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
