کمیته رکن چهارم – حملات سایبری جدیدی علیه وبسایتهای وردپرس گزارش شده که با تزریق اسکریپتهای جاوا مخرب، بازدیدکنندگان این سایتها را به صفحات فیشینگ منتقل میکند. این حملات با هدف فریب کاربران و توزیع بدافزار در حال گسترش است.
به گزارش کمیته رکن چهارم، بررسیهای شرکت Sucuri نشان میدهد مهاجمان با تغییر در فایل functions.php قالب سایت، کدی را تزریق کردهاند که ظاهر آن شبیه به تبلیغات گوگل است اما در واقع، محتوای آلودهای را از سرور خارجی دریافت و بارگذاری میکند. این کدها با ایجاد iframeهای مخفی و استفاده از دامنههایی مانند porsasystem.com کاربران را به سمت صفحات فیشینگ ClickFix هدایت میکنند.
این صفحات فیشینگ با تقلید از ظاهر پلتفرمهایی مانند کلادفلر، کاربران را فریب میدهند و در برخی موارد، حتی دستورات خطرناک برای اجرای دستی در ویندوز به آنها ارائه میکنند. این حملات بخشی از یک سیستم توزیع ترافیک مخرب به نام Kongtuke هستند که در سطح وسیعی در حال استفاده است.
همزمان، شرکت Palo Alto Networks ابزار جدیدی به نام IUAM ClickFix Generator را شناسایی کرده که به مهاجمان امکان ساخت سریع و پیشرفته صفحات فیشینگ را میدهد. این صفحات میتوانند سیستمعامل قربانی را تشخیص داده و بدافزار مناسب، مانند DeerStealer برای ویندوز یا Odyssey Stealer برای مک، را منتقل کنند.
در نوع پیشرفتهتری از این حملات، که توسط شرکت Expel شناسایی شده، مهاجمان از تکنیکی به نام Cache Smuggling استفاده میکنند تا بدون دانلود مستقیم فایل، بدافزار را از حافظه کش مرورگر اجرا کنند. در این روش، فایل تصویری فریبندهای که پیشتر ذخیره شده، توسط اسکریپت PowerShell رمزگشایی و اجرا میشود، بدون آنکه هیچ فایل آشکاری در جریان باشد.
افزایش پیچیدگی این حملات، ظهور ابزارهای ساخت فیشینگ و استفاده از روشهای پنهانکارانه، زنگ خطری برای مدیران وبسایتهای وردپرس است. بررسی فایلهای حساس، استفاده از گذرواژههای قوی، بهروزرسانی قالبها و اسکنهای امنیتی منظم، از مهمترین اقدامات پیشگیرانه محسوب میشود.
