تقارير جديدة تؤكد اختراق الآلاف من مواقع WordPress برموز خبيثة هذا الشهر

وفقًا لباحثين أمنيين في Sucuri و Malwarebytes تم اختراق الآلاف من مواقع WordPress برموز خبيثة هذا الشهر , و يبدو أن كل التسويات تتبع نمط...

وفقًا لباحثين أمنيين في Sucuri و Malwarebytes تم اختراق الآلاف من مواقع WordPress برموز خبيثة هذا الشهر , و يبدو أن كل التسويات تتبع نمطًا مشابهًا - لتحميل رمز خبيث من أحد عوامل التهديد المعروفة - على الرغم من أن ناقلات الدخول لجميع هذه الحوادث يبدو أن تكون مختلفة.

يعتقد الباحثون أن المتطفلين يكتسبون إمكانية الوصول إلى هذه المواقع ليس عن طريق استغلال العيوب في WordPress CMS نفسها ، ولكن نقاط الضعف في القوالب القديمة والمكونات الإضافية "plugins" ,و يعتقد الباحثون أنهم عندما يتمكنون من الوصول إلى موقع ، يقومون بزرع باب خلفي للوصول إلى  الموقع في المستقبل وإجراء تعديلات على أكواده.

في معظم الحالات ، تقوم بتعديل ملفات PHP أو JavaScript لتحميل التعليمة البرمجية الضارة ، على الرغم من أن بعض المستخدمين قد أبلغوا عن رؤية التعديلات التي تم إجراؤها على جداول قاعدة البيانات أيضًا.
قال الباحث الأمني في Malwarebytes جيروم سيغورا إن هذه الشفرات الخبيثة تقوم بتصفية المستخدمين الذين يزورون المواقع المخترقة وتعيد توجيه البعض إلى خدع الدعم الفني.
ويضيف الباحث أن بعض أنماط الزيارات التي تتم مشاهدتها أثناء عملية إعادة التوجيه تتطابق مع أنماط نظام توزيع حركة المرور المعروف الذي تستخدمه العديد من حملات توزيع البرامج الضارة.
و قال سيغورا إن بعض عمليات الحيل المتعلقة بالدعم الفني التي يقوم بها الهاكرز هي أنهم يستخدمون خلل كروم المسمى "evil cursor" لمنع المستخدمين من إغلاق علامة تبويب الموقع الخبيث ، وهي حيلة رصدها الباحث لأول مرة في الأسبوع الماضي.

يبدو أن حملة اختطاف مواقع WordPress هذه قد بدأت هذا الشهر ووفقًا لـ Sucuri  تكثفت الحملات في الأيام الأخيرة .

البحث في Google عن واحدة فقط من أجزاء شفرة جافا سكريبت الخبيثة التي تمت إضافتها إلى مواقع WordPress التي تم الاستيلاء عليها تكشف جزءًا صغيرًا فقط من العدد الإجمالي للمواقع المخترقة, في هذه الحالة أسفر البحث في سلسلة البحث عن أكثر من 2500 نتيجة ، بما في ذلك موقع شركة تابع لشركة Expedia Group الشركة الأم وراء بوابة Expedia.