حملة ضارة تستهدف مواقع ووردبريس عبر إضافة أمان مزيفة

جهات التهديد: يشتبه بتورط مجموعات مرتبطة بروسيا
الهدف الرئيسي: مواقع ووردبريس

نظرة عامة

كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة متطورة تستغل مواقع ووردبريس من خلال إضافة أمان مزيفة تحمل اسم WP-antymalwary-bot.php. هذه الإضافة الضارة تمنح المهاجمين صلاحيات مسؤول كاملة، مما يتيح:
- إعادة الإصابة الخفية
- عمليات احتيال إعلانية تعتمد على جافاسكربت
- الاتصال بخادم تحكم وأمر (C2)

أبرز السمات

• تكتيكات التمويه:
  • تتنكر على أنها أداة أمان شرعية.
  • تتضمن متغيرات مثل addons.php وwpconsole.php.
• الأنشطة الضارة:
  • تنشر البرمجيات الخبيثة على الإضافات/القوالب الضعيفة الأخرى.
  • تحقن إعلانات احتيالية في المواقع المخترقة.
  • تتواصل مع خوادم C2 للتحديثات/الأوامر.

الجدول الزمني ونسبة الهجمات

• الظهور الأول: يناير 2025، مع تصاعد النشاط حتى الربع الثاني من 2025.
• المصدر المشتبه به: جهات تهديد مرتبطة بروسيا، بناءً على أنماط البنية التحتية.

حوادث مرتبطة

1. نطاقات خطوط مزيفة:
   • تُستخدم لسرقة بطاقات الائتمان عبر مواقع التجارة الإلكترونية المخترقة.
2. خداع CAPTCHA:
   • مطالبات تحقق مزيفة تنشر أبواب خلفية تعتمد على Node.js.
   • مرتبطة بنظام Kongtuke لتوزيع الحركة.

خطوات الحماية

• يجب على مدراء ووردبريس:
  • فحص الملفات المشبوهة (wp-antymalwary-bot.php, addons.php, wpconsole.php).
  • مراجعة مستخدمي الإدارة والصلاحيات.
  • تحديث الإضافات/القوالب وإزالة غير المستخدمة.
  • مراقبة حقن جافاسكربت غير المعتادة أو حركة الإعلانات.

ملاحظة: تُظهر هذه الحملة مخاطر الإضافات الخارجية. تحقق دائمًا من المصادر واستخدم أدوات أمان موثوقة.

المراجع:
- تقرير شركة أمن سيبراني (thehackernews.com)
- نشرة أمان ووردبريس (2025)