فهرست مطالب
هکرها با سوءاستفاده از نسخههای قدیمی وردپرس و افزونههای آن، هزاران وبسایت را آلوده و هک کردهاند تا کاربران را به دانلود و نصب بدافزار ترغیب کنند.
به گزارش تکناک، سایمون ویکمنز، مدیرعامل و بنیانگذار شرکت امنیتی c/side که این حملات را کشف کرده است، در گفتوگو با TechCrunch تأکید کرد که این کمپین هکری همچنان فعال است.
هدف مهاجمان، انتشار بدافزاری است که گذرواژهها و اطلاعات شخصی کاربران ویندوز و مک را سرقت میکند. طبق اعلام c/side، برخی از این وبسایتهای آلوده، جزو پربازدیدترین سایتهای اینترنتی هستند.
هیمانشو آناند، یکی از پژوهشگران c/side، این حمله را «گسترده و به طور کامل تجاریسازیشده» توصیف کرده و آن را از نوع «پخش انبوه و دریافت سود» دانسته است.
به گفته او، برخلاف برخی حملات هدفمند، در این روش هر کاربری که از وبسایتهای آلوده بازدید کند، در معرض خطر قرار میگیرد.
01
از 02نمایش صفحات جعلی بهروزرسانی در سایتهای آلوده
به گفته پژوهشگران، وبسایتهای آلوده هنگام بارگذاری در مرورگر کاربر، بهسرعت با تغییر محتوا یک صفحه جعلی را نمایش میدهند، که از کاربران میخواهد برای مشاهده وبسایت، مرورگر Chrome خود را بهروزرسانی کنند. در صورت پذیرش این درخواست، فایل مخربی که خود را بهعنوان بسته بهروزرسانی جا زده است، متناسب با سیستمعامل کاربر (ویندوز یا مک) دانلود میشود.
ویکمنز اعلام کرد که شرکت Automattic، توسعهدهنده WordPress.com، در جریان این حملات قرار گرفته و فهرست دامنههای مخرب به این شرکت ارسال شده است. شرکت Automattic هنوز در این زمینه اظهار نظر رسمی ارائه نکرده است.
طبق گزارش c/side، تاکنون بیش از ۱۰ هزار وبسایت وردپرس در این حملات هک شدهاند. ویکمنز توضیح داد که پژوهشگران این شرکت با استفاده از روشهای خودکار، اسکریپتهای مخرب را روی دامنههای مختلف شناسایی و با بهرهگیری از تکنیک جستوجوی معکوس DNS، دامنههای مرتبط را نیز کشف کردهاند.
هرچند TechCrunch نتوانسته است صحت این آمار را به طور مستقل تأیید کند، اما بررسیها نشان دادهاند که برخی از وبسایتهای آلوده همچنان این محتوای مخرب را نمایش میدهند.
02
از 02انتشار بدافزارهای سرقت اطلاعات
دو نوع بدافزار اصلی از طریق این وبسایتهای مخرب توزیع میشود: Amos (یا Amos Atomic Stealer) که کاربران macOS را هدف قرار میدهد و SocGholish که مخصوص کاربران ویندوز است.
شرکت امنیت سایبری SentinelOne در مه ۲۰۲۳، Amos را به عنوان یک بدافزار سرقت اطلاعات معرفی کرد. این بدافزار با آلوده کردن سیستم کاربران، اطلاعاتی از جمله گذرواژهها، کوکیهای نشست، کیف پولهای دیجیتال و دادههای حساس دیگر را استخراج میکند. در همان زمان، شرکت Cyble نیز گزارش داد که این بدافزار در پلتفرم تلگرام به فروش گذاشته شده است.
پاتریک واردل، متخصص امنیت macOS و همبنیانگذار استارتآپ DoubleYou، این بدافزار را «پرکاربردترین بدافزار سرقت اطلاعات در macOS» توصیف کرده است.
او اشاره کرد که Amos با مدل بدافزار به عنوان سرویس عرضه شده است، به این معنا که توسعهدهندگان آن، این بدافزار را در اختیار هکرها قرار میدهند.
به گفته واردل، نصب موفقیتآمیز این بدافزار در macOS و هک وبسایتهای وردپرس، نیازمند اقدام دستی کاربر است و باید چندین لایه امنیتی اپل دور زده شود.
اگرچه این کمپین هکری پیچیدهترین نوع حمله به حساب میآید، اما نشاندهنده خطراتی است که کاربران را تهدید میکند. اتکای هکرها به فریب کاربران برای نصب بدافزار، اهمیت بهروزرسانی مرورگر از طریق سیستم داخلی Chrome و نصب برنامههای معتبر را یادآوری میکند.
بدافزارهای سرقت گذرواژه و اطلاعات کاربری، در برخی از بزرگترین حملات سایبری تاریخ نقش داشتهاند. در سال ۲۰۲۴، هکرها با استفاده از گذرواژههای سرقتشده از کامپیوترهای کارکنان Snowflake، به اطلاعات شرکتهای بزرگی دسترسی پیدا کردند، که دادههای خود را در این پلتفرم ذخیره کرده بودند.
