پژوهشگران امنیت سایبری نسبت به کارزار جدیدی هشدار دادهاند که از سایتهای وردپرس آلوده برای تزریق مخفیانه کدهای جاوااسکریپت مخرب استفاده میکند؛ کدهایی که بازدیدکنندگان سایت را به صفحات جعلی و خطرناک هدایت میکنند.
بهگزارش شرکت امنیتی Sucuri، این حملات با نفوذ به فایل «functions.php» در قالبهای وردپرس و افزودن کدهایی بهظاهر مرتبط با تبلیغات گوگل آغاز میشود. در حالیکه این کدها عملا از دامنهای بهنام "brazilc[.]com" دستور دریافت کرده و کاربران را به یک فایل جاوااسکریپت دیگر در دامنه "porsasystem[.]com" منتقل میکنند.
این فایل علاوه بر تغییر مسیر کاربران، یک iframe پنهان به صفحه اضافه میکند که در آن اسکریپتهایی جعلی شبیه سرویسهای ابری کلودفلر بارگذاری میشود؛ شگردی برای فریب فیلترها و عبور از شناساییهای امنیتی.
دامنه "porsasystem[.]com" پیشتر به سامانه توزیع ترافیک مخربی موسوم به Kongtuke وابسته شناخته شده و اکنون در حملاتی نقش دارد که به صفحات ClickFix منتهی میشوند؛ نوعی حمله فیشینگ که با جعل رابطهای امنیتی، کاربران را به اجرای دستوراتی در سیستم خود وادار میکند.
همزمان، شرکت Palo Alto Networks از ظهور یک کیت فیشینگ حرفهای بهنام «IUAM ClickFix Generator» خبر داده که به مهاجمان امکان ساخت آسان صفحات جعلی با ظاهر بررسی امنیتی مرورگر را میدهد. این صفحات ضمن تقلید از چالشهای امنیتی رایج در شبکههای تحویل محتوا (CDN)، قابلیت شناسایی سیستمعامل قربانی، دستکاری حافظه کلیپبورد و بارگذاری بدافزار را دارند.
در مواردی، بدافزارهایی چون DeerStealer و Odyssey Stealer (ویژه سیستمعامل مک) از طریق همین صفحات توزیع شدهاند. مایکروسافت نیز از رشد بازار زیرزمینی سازندگان کیتهای فیشینگ ClickFix از اواخر ۲۰۲۴ هشدار داده است.
این مجموعه حملات بار دیگر نشان میدهد چرا بهروزرسانی منظم وردپرس، افزونهها و قالبها، استفاده از رمزهای عبور قوی و پایش مستمر برای شناسایی کدهای ناشناس و حسابهای مشکوک مدیریتی حیاتی است. ابزارهای نوین مانند ClickFix Generator، تهدیدات فیشینگ را بیش از پیش پیچیده و پنهان کردهاند.
توضیحات بیشتر:
Hackers Exploit WordPress Sites to Power Next-Gen ClickFix Phishing Attacks