وجد الباحثون الأمنيون في شركة (سوكوري) Sucuri أن الآلاف من مواقع (وردبرس) أُصيبت بنوع غير معروف من البرمجيات الخبيثة.
وأوضح الباحثون أن البرمجية الخبيثة تُعيد توجيه زائري المواقع المُصابة إلى موقع ويب مختلف، حيث تُحمَّل الإعلانات المُستضَافة على منصة الإعلانات من جوجل Google Ads، مما يحقق أرباحًا لمالكي موقع الويب.
ووجد باحثو (سوكوري) أن جهة تهديد غير معروفة تمكنت من اختراق 11,000 موقع ويب يستخدم منصة إدارة المحتوى (وردبرس).
وتُعد (وردبرس) أكثر منصات استضافة المواقع انتشارًا في العالم، ويُنظر إليها بصورة عامة على أنها آمنة. ومع ذلك، فإنها تُوفِّر أيضًا عددًا لا يحصى من الإضافات، التي يحمل بعضها نقاط ضعف شديدة الخطورة.
وعلى الرغم من أن الباحثين لم يتمكنوا بدقة من تحديد الثغرة الأمنية المُستخدمة لإيصال هذه البرامج الضارة، فهم يتوقعون أن جهات التهديد الفاعلة أتْمَتت العملية وربما استفادت من أي عيوب معروفة وغير مصححة كانوا قد اكتشفوها.
موضوعات ذات صلة بما تقرأ الآن:
وقال الباحثون إن طريقة عمل البرامج الضارة هذه بسيطة، فحينما يزور المستخدمون مواقع الويب المصابة، يُعاد توجيههم إلى موقع ويب مختلف للأسئلة والأجوبة يعرض إعلانات موجودة على منصة إعلانات جوجل. وبهذه الطريقة، ستُخدع جوجل لكي تدفع لمالكي الحملات الإعلانية مقابل المشاهدات، غير مدركة أن المشاهدات أتت بطريقة مخادعة.
وكانت (سوكوري) تتتبع حملات مماثلة منذ شهور. ففي أواخر شهر تشرين الثاني/ نوفمبر من العام الماضي، اكتشف الباحثون حملة مماثلة أصابت ما يقرب من 15,000 من مواقع (وردبرس). ولكن الفرق بين هاتين الحملتين هو أنه في حملة العام الماضي، لم يكلف المهاجمون أنفسهم عناء إخفاء البرامج الضارة، بل على العكس تمامًا، ثبّتوا أكثر من 100 ملف ضار لكل موقع ويب.
وقال الباحثون إن المهاجمين بذلوا جهودًا كبيرة في الحملة الجديدة لمحاولة إخفاء وجود البرامج الضارة. كما أنهم جعلوا البرامج الضارة أكثر مرونة إلى حد ما في مواجهة التدابير المضادة، وتبقى ثابتة على المواقع أطول مدة ممكنة.
وللوقاية من مثل هذه الهجمات، يوصي الباحثون بتحديث موقع الويب وجميع المكونات الإضافية، والحفاظ على أمان لوحة wp-admin بكلمة مرور قوية ومصادَقة متعددة العوامل.
ويمكن لأولئك الذين أصيبوا بالفعل اتباع دليل (سوكوري) الإرشادي، ويجب عليهم تغيير جميع كلمات المرور، ووضع موقع الويب خلف جدار الحماية.
