Web Analytics
واتس آب ، فيسبوك ، أنترنت ، شروحات تقنية حصرية - المحترف قراصنة يستخدمون صفحات حماية DDoS وهمية لتوزيع البرامج الضارة

قراصنة يستخدمون صفحات حماية DDoS وهمية لتوزيع البرامج الضارة


يتم اختراق مواقع WordPress لعرض صفحات حماية Cloudflare DDoS الاحتيالية التي تؤدي إلى تسليم برامج ضارة مثل NetSupport RAT و Raccoon Stealer.

قال بن مارتن من Sucuri في مقال نُشر الأسبوع الماضي : "أدت الزيادة الأخيرة في عمليات حقن جافا سكريبت التي تستهدف مواقع WordPress إلى ظهور طلبات DDoS وهمية تمنع الضحايا من تنزيل برمجيات طروادة الخبيثة للوصول عن بُعد".

تعد صفحات حماية رفض الخدمة الموزعة (DDoS) عمليات تحقق أساسية للتحقق من المتصفح مصممة لردع حركة المرور غير المرغوب فيها والخبيثة التي يقودها الروبوت عن استهلاك النطاق الترددي وإزالة مواقع الويب.

يتضمن ناقل الهجوم الجديد قرصنة مواقع WordPress لعرض النوافذ المنبثقة المزيفة للحماية من DDoS والتي، عند النقر عليها، تؤدي في النهاية إلى تنزيل ملف ISO ضار ("security_install.iso") إلى أنظمة الضحية.

يتم تحقيق ذلك عن طريق حقن ثلاثة أسطر من التعليمات البرمجية في ملف JavaScript ("jquery.min.js") ، أو بدلاً من ذلك في ملف السمة النشط لموقع الويب ، والذي بدوره يقوم بتحميل JavaScript مبهم بشدة من خادم بعيد.

وأوضح مارتن: "يتصل هذا جافا سكريبت بعد ذلك بنطاق ضار ثانٍ يقوم بتحميل المزيد من جافا سكريبت الذي يبدأ مطالبة التنزيل لملف .iso الضار".

بعد التنزيل ، يُطلب من المستخدمين إدخال رمز التحقق الذي تم إنشاؤه من تطبيق "DDoS Guard" لإغراء الضحية بفتح ملف المثبت المسلح والوصول إلى موقع الويب الوجهة.

بينما يعرض المثبت رمز التحقق للحفاظ على الحيلة ، في الواقع ، الملف عبارة عن حصان طروادة للوصول عن بُعد يسمى NetSupport RAT، وهو مرتبط بعائلة البرامج الضارة FakeUpdates (المعروف أيضًا باسم SocGholish) ويقوم أيضًا بتثبيت Raccoon Stealer سراً، وهو سرقة بيانات الاعتماد طروادة متاحة للإيجار في المنتديات تحت الأرض.

يعد هذا التطور علامة على أن المهاجمين يستغلون بشكل انتهازي آليات الأمان المألوفة هذه في حملاتهم الخاصة في محاولة لخداع زوار موقع الويب المطمئنين لتثبيت برامج ضارة.

للتخفيف من مثل هذه التهديدات ، يُطلب من مالكي مواقع الويب وضع مواقعهم خلف جدار حماية ، واستخدام عمليات فحص سلامة الملفات، وفرض المصادقة الثنائية (2FA). نحث زوار الموقع أيضًا على تشغيل 2FA ، وتجنب فتح الملفات المشبوهة ، واستخدام أداة حظر البرامج النصية في متصفحات الويب لمنع تنفيذ JavaScript.


نموذج الاتصال

الاسم

بريد إلكتروني *

رسالة *