في عالم الفضاء السيبراني، تظل الهجمات الإلكترونية تتطور بطرق معقدة ومبتكرة. في حملة جديدة ومستمرة، يتم اختراق 150,000 موقع شرعي باستخدام برمجيات جافا سكريبت خبيثة لتعزيز منصات المقامرة باللغة الصينية. هذه الحملة تكشف عن مدى تطور الأساليب التي يتبعها المهاجمون الإلكترونيون لتحقيق أهدافهم.

تفاصيل الحملة والتحليل التقني

وفقًا لتحليل جديد من المحلل الأمني هيمانشو أناند، يعتمد المهاجمون على تعديلات طفيفة في واجهتهم ولكنهم ما زالوا يعتمدون على تقنية (iframe) لعرض صفحة تغطي الشاشة بالكامل في متصفح الزائر. حتى وقت كتابة هذا التقرير، يوجد أكثر من 135,800 موقع يحتوي على الشيفرة الخبيثة، وفقًا لإحصاءات من موقع PublicWWW.

تشمل الحملة إصابة المواقع بشيفرة جافا سكريبت خبيثة تهدف إلى اختطاف نافذة المتصفح وإعادة توجيه الزوار إلى صفحات تروج لمنصات المقامرة. تتم عمليات إعادة التوجيه عبر جافا سكريبت مستضافة على خمسة نطاقات مختلفة مثل “zuizhongyj[.]com”، والتي بدورها تقدم الحمولة الرئيسية المسؤولة عن تنفيذ عمليات إعادة التوجيه.

كما لوحظ وجود متغير آخر للحملة يشمل حقن سكريبتات وعناصر (iframe) في (HTML) لتقليد مواقع المراهنة الشرعية مثل Bet365 باستخدام شعارات وعلامات تجارية رسمية. الهدف النهائي هو تقديم تراكب كامل الشاشة باستخدام (CSS) لعرض صفحة المقامرة الخبيثة عند زيارة أحد المواقع المصابة بدلاً من المحتوى الفعلي.

الدلالات الأمنية والتحديات

هذه الهجمات تبرز مرونة المهاجمين في توسيع نطاقها واستخدام طبقات جديدة من التضليل. الهجمات من جهة العميل مثل هذه في تزايد مستمر، مع اكتشافات جديدة يوميًا. الكشف عن هذه الحملة يأتي في الوقت الذي كشفت فيه GoDaddy تفاصيل عملية برمجيات ضارة طويلة الأمد تسمى DollyWay World Domination، التي اخترقت أكثر من 20,000 موقع عالميًا منذ عام 2016.

وفقًا لباحث الأمن دينيس سينغوبكو، فإن التكرار الحالي يستهدف بشكل رئيسي زوار مواقع WordPress المصابة عبر سكريبتات إعادة توجيه محقونة تستخدم شبكة موزعة من عقد نظام توجيه الحركة (TDS) المستضافة على المواقع المخترقة. هذه السكريبتات تعيد توجيه الزوار إلى صفحات احتيال مختلفة عبر شبكات وسطاء الحركة المرتبطة بـ VexTrio، أحد أكبر شبكات الشركاء السيبرانية المعروفة التي تستخدم تقنيات (DNS) متقدمة وأنظمة توزيع الحركة وخوارزميات توليد النطاقات لتقديم البرمجيات الضارة والاحتيالات عبر الشبكات العالمية.

تحليل الأثر والانعكاسات المستقبلية

تبدأ الهجمات بحقن سكريبت تم إنشاؤه ديناميكيًا في موقع WordPress، ليعيد في النهاية توجيه الزوار إلى روابط VexTrio أو LosPollos. كما يُعتقد أن النشاط استخدم شبكات إعلانية مثل PropellerAds لتحقيق الدخل من الحركة من المواقع المخترقة. يتم تسهيل الحقن الخبيث على جهة الخادم من خلال كود (PHP) مدرج في المكونات الإضافية النشطة، مع اتخاذ خطوات لتعطيل المكونات الأمنية وحذف المستخدمين الإداريين الخبيثين والاستيلاء على بيانات الاعتماد الإدارية الشرعية لتحقيق أهدافهم.

كشفت GoDaddy أن DollyWay TDS يستخدم شبكة موزعة من مواقع WordPress المخترقة كعقد TDS ونقاط تحكم وسيطرة (C2)، محققًا 9-10 مليون ظهور شهريًا. علاوة على ذلك، تم العثور على أن عناوين URL لإعادة التوجيه VexTrio تم الحصول عليها من شبكة وسطاء الحركة LosPollos. حول نوفمبر 2024، يُقال إن مشغلي DollyWay حذفوا عدة خوادم C2/TDS الخاصة بهم، مع الحصول على سكريبت TDS لعناوين URL لإعادة التوجيه من قناة Telegram تسمى trafficredirect.

لاحظ سينغوبكو أن قطع علاقة DollyWay مع LosPollos يمثل نقطة تحول مهمة في هذه الحملة طويلة الأمد. وبينما أظهر المشغلون قدرة ملحوظة على التكيف بسرعة مع طرق تحقيق الدخل البديلة، فإن التغييرات السريعة في البنية التحتية والانقطاعات الجزئية تشير إلى بعض التأثيرات التشغيلية.

دعوة للنقاش

ما هي الخطوات التي يمكن اتخاذها لتعزيز دفاعات المواقع ضد هذا النوع من الهجمات؟ وهل تعتقد أن التعاون الدولي يمكن أن يساعد في تقليل تعرض المواقع لمثل هذه الهجمات؟ شاركنا رأيك على تويتر وفيسبوك لمناقشة هذه القضية الملحة.