در روزهایی که بدافزارها هر لحظه شکل جدیدی به خود میگیرند، موج تازهای از حملات پیچیده سایبری، انواع وبسایت وردپرس و فروشگاههای آنلاین را هدف قرار دادهاند. از افزونههای امنیتی جعلی که دسترسی کامل به پنل مدیریت میدهند، تا اسکریپتهایی که اطلاعات کارت بانکی را در فرمهای پرداخت سرقت میکنند، هیچ بخشی از وبسایتها در امان نیست. در این گزارش، به بررسی چهار تهدید همزمان و فزاینده میپردازیم که با هدف سرقت داده، درآمد و کنترل سایتها طراحی شدهاند — حملاتی که نهتنها زیرساخت فنی، بلکه اعتماد کاربران را نشانه رفتهاند.
افزونه جعلی وبسایت وردپرس برای دسترسی مدیریتی از راه دور
پژوهشگران امنیت سایبری جزئیات کمپینی جدید را افشا کردهاند که سایتهای وردپرسی را هدف قرار میدهد و بدافزار خود را بهعنوان یک افزونه امنیتی معرفی میکند. این افزونه، که با نام WP-antymalwary-bot.php شناخته میشود، از قابلیتهایی برای حفظ دسترسی، مخفی ماندن از پنل مدیریت و اجرای کد از راه دور برخوردار است.
این بدافزار امکان برقراری ارتباط و گزارشدهی به سرور فرمان و کنترل (C2) را فراهم میکند. همچنین، شامل کدی برای انتشار بدافزار به سایر دایرکتوریها و تزریق جاوااسکریپت مخرب بهمنظور نمایش تبلیغات است.
این بدافزار اولینبار در اواخر ژانویه ۲۰۲۵، طی عملیات پاکسازی یک سایت شناسایی شد و پس از آن، نسخههای جدید آن در فضای اینترنت مشاهده شده است. برخی دیگر از نامهایی که این افزونه با آنها ظاهر شده، عبارتند از:
- addons.php
- wpconsole.php
- wp-performance-booster.php
- scr.php
پس از نصب و فعالسازی، این افزونه با سوءاستفاده از REST API، دسترسی مدیریتی به مهاجمان اعطا میکند و امکان اجرای کد مخرب PHP را از راه دور فراهم میسازد. این فرآیند از طریق تزریق کد به فایل هدر قالب سایت یا پاکسازی کش افزونههای محبوب کش کردن انجام میشود.
در نسخههای جدیدتر، تغییراتی در روش تزریق کدها مشاهده شده که شامل فراخوانی اسکریپتهای جاوااسکریپت از دامنههای آلوده برای نمایش تبلیغات یا ارسال اسپم است. این افزونه مخرب با فایل آلوده دیگری بهنام wp-cron.php همراه است که در صورت حذف افزونه، هنگام بازدید بعدی از سایت، بدافزار را بازسازی و مجددا فعال میکند.
در حال حاضر، مشخص نیست سایتها چگونه آلوده میشوند یا چه کسی پشت این حملات قرار دارد؛ اما وجود کامنت و پیامهایی به زبان روسی در کد، احتمال ارتباط مهاجمان با افراد روسزبان را مطرح میکند.
حملات اسکیمر و کاردینگ برای سرقت اطلاعات
افشای پلاگین مخرب همزمان با گزارشی از شرکت Sucuri رخ داده که از یک کمپین وب اسکیمر خبر میدهد. این کمپین با استفاده از دامنه جعلی italicfonts[.]org، فرمهای پرداخت تقلبی را در صفحات پرداخت فروشگاههای آنلاین نمایش داده و اطلاعات واردشده را به سرور مهاجم منتقل میکند.
در حملهای دیگر که این شرکت گزارش داده است، مهاجمان پلتفرمهای تجارت الکترونیک Magento را با بدافزار جاوااسکریپت هدف قرار دادهاند تا اطلاعاتی نظیر دادههای کارت اعتباری، کوکیها و اطلاعات ورود را سرقت کنند. این حمله، که بهعنوان یک «حمله کاردینگ پیشرفته و چندمرحلهای» توصیف شده، از یک فایل GIF جعلی، که در واقع اسکریپت PHP است، بهعنوان پراکسی معکوس استفاده میکند تا ترافیک سایت را برای سرقت اطلاعات هدایت کند.
تزریق کد AdSense برای سرقت درآمد تبلیغاتی
مهاجمان همچنین کد Google AdSense را به حداقل ۱۷ سایت وردپرسی تزریق کردهاند تا با نمایش تبلیغات ناخواسته، از کلیکها یا نمایشها کسب درآمد کنند. این اقدام میتواند درآمد تبلیغاتی سایتهایی را که خود از AdSense استفاده میکنند، به سرقت ببرد.
Google AdSense برنامهای است که توسط گوگل مدیریت میشود و به ناشران وبسایتها امکان میدهد تبلیغات متنی، تصویری، ویدیویی یا رسانهای تعاملی خودکار را که با محتوا و مخاطبان سایت هدفگذاری شدهاند، ارائه دهند. این تبلیغات توسط گوگل مدیریت، مرتبسازی و نگهداری میشوند و میتوانند بر اساس کلیک یا نمایش درآمدزایی کنند.
CAPTCHAهای فریبنده برای استقرار بکدور Node.js
علاوه بر این موارد، CAPTCHAهای فریبندهای که در سایتهای آلوده نمایش داده میشوند، کاربران را به دانلود و اجرای بکدورهای مبتنی بر Node.js ترغیب میکنند. این بکدورها برای جمعآوری اطلاعات سیستم، دسترسی از راه دور و استقرار تروجان کنترل از راه دور (Node.js RAT) طراحی شدهاند که ترافیک مخرب را از طریق پراکسیهای SOCKS5 هدایت میکند.
این فعالیت به سیستم توزیع ترافیک (TDS) معروف به Kongtuke (با نامهای دیگر:404 TDS، Chaya_002، LandUpdate808، TAG-124) نسبت داده شده است. اسکریپت جاوااسکریپت این بکدور قابلیت شناسایی دقیق سیستم، اجرای دستورات از راه دور، تونلسازی ترافیک شبکه از طریق پراکسی SOCKS5 و حفظ دسترسی مخفیانه و ماندگار را داراست.
