اكتشف باحثون في شركة c/side لأمن الويب نشاطًا خبيثًا يستخدم نطاق WP3[.]XYZ في نقل بيانات مسروقة من مواقع ووردبريس. وذلك خلال تعاملهم مع اختراق أمني لأحد عملائهم. لم يُحدد الباحثون كيفية تعرض الموقع للإصابة الأولية، لكنهم أعلنوا عن اختراق أكثر من 5000 موقع ووردبريس حول العالم من خلال النشاط الخبيث نفسه.
كيف بدأ هجوم WP3[.]XYZ؟
تمكن المُخترقين من حقن برمجيات خبيثة باستخدام نطاق WP3[.]XYZ في المواقع المستهدفة بطريقةٍ ما. وسمحت هذه البرمجيات بإنشاء حساب مسؤول احتيالي (Rogue Admin) على مواقع ووردبريس المُخترقة. وذلك لتثبيت «إضافة خبيثة» تستهدف سرقة بيانات الدخول الخاصة بمسؤولي الموقع، وسجلات العمليات، بالإضافة إلى تفاصيل حساسة أخرى وفقًا لتقرير c/side.
وتحدث عملية الاختراق ببساطة على النحو التالي:
- بعد اختراق الموقع المُستهدف، تبدأ برمجية خبيثة من نطاق WP3[.]XYZ بإنشاء حساب مسؤول احتيالي باسم wpx_admin.
- تعمل البرمجية بعد ذلك على تحميل إضافة خبيثة تحمل اسم plugin.php من نفس النطاق، ثم تفعيلها على الموقع المُخترق.
- أخيرًا، تبدأ الإضافة الخبيثة بسرقة البيانات وإرسالها إلى خادم المهاجم بطريقة مُشفرة تُظهر العملية كطلب صورة.
ماذا يجب أن تفعل؟
ابدأ بحظر النطاق WP3[.]XYZ باستخدام جدار حماية وإضافات أمان؛ ثم افحص حسابات الإدارة في ووردبريس للتأكد من عدم وجود أي حسابات غير مصرح بها. بعد ذلك افحص موقعك للتأكد من عدم وجود برمجيات خبيثة محتملة على موقعك. وأخيرًا تأكد من تعيين كلمات مرور صحيحة وتفعيل المصادقة متعددة العوامل (MFA)؛ وتحقق من سلامة الإضافات الموجودة واحذف أي إضافات أو ثيمات غير مُستخدمة أو مشكوك فيها.
