أفاد خبراء من Patchstack، وهي شركة أمن سيبراني متخصصة في حماية مواقع ووردبريس، عن حملة تصيد واسعة النطاق تستهدف أصحاب متاجر ووكومرس عبر رسائل بريد إلكتروني تتضمن تحديثًا أمنيًا مزيفًا يخفي برمجية خبيثة تحوي بابًا خلفيًا يسمح بالوصول إلى بيانات المتاجر وسرقتها.
تفاصيل الحملة
استخدمت في الحملة رسالة تحذر أصحاب المتاجر من وجود ثغرة أمنية باسم (Unauthenticated Administrative Access) تسمح لمهاجمين بالوصول الإداري غير المصرح به، لكن الثغرة غير موجودة فعلًا. ويتواصل المهاجمون مع الضحايا عبر عنوان بريد إلكتروني يعطي انطباعًا بالمصداقية هو help@security-woocommerce[.]com.
رسالة البريد الإلكتروني المستخدمة في حملة التصيد
وتحتوي الرسالة على زر لتنزيل تصحيح للثغرة المزعومة Download Patch، لكن عند النقر عليه يُعاد توجيه المستخدم إلى موقع شبيه بسوق ووكومرس الرسمي يمتلك الدومين woocommėrce[.]com، حيث يلاحظ وجود الحرف ė بدلًا من الحرف e.
الموقع المزيف الذي يعاد التوجيه إليه
وبعد تنزيل التصحيح يتلقى المستخدم ملفًا باسم authbypass-update-31297-id.zip، وعند تثبيته كإضافة في متجر ووكومرس كما تشرح الرسالة، يُنشئ cron job يعمل كل دقيقة على إنشاء حساب مسؤول جديد، ويرسل بياناته إلى خادم المهاجمين.
بعد ذلك تتصل الإضافة بالخادم woocommerce-services[.]com/wpapi لإعلام المهاجم أن المتجر قد أُصيب، فتُرسل ملفات أخرى إلى موقع الضحية لإحكام السيطرة عليه، ومن بينها P.A.S.-Form و p0wny و WSO، التي توفر لوحة تحكم خفية تسمح للمهاجم بالتحكم الكامل بالموقع، حيث يمكنه حقن إعلانات، أو إعادة توجيه المستخدمين إلى وجهات ضارة، أو سرقة معلومات الدفع، أو تشفير الموقع وابتزاز صاحبه.
كيف تعرف أن متجرك أٌصيب؟
تقوم الإضافة والملفات الضارة التي سحبتها من خادم المهاجم بإخفاء حساب المسؤول الذي أنشأته، كما تخفي الإضافة نفسها من قائمة الإضافات، الأمر الذي يصعب على صاحب المتجر ملاحظة إصابة موقعه.
لذلك فإن أفضل طريقة لتأكيد أو نفي إصابة المتجر به هي مراجعة الإجراءات التي نفذها مديرو المتجر، ومعرفة فيما إذا وقعوا ضحية الهجوم عبر تنصيب إضافة authbypass-update-31297-id.zip.
كيف تحمي متجرك؟
لحماية متجرك، تأكد من اتباع النصائح التالية:
- التحديث من المواقع الرسمية: احرص على تنصيب التحديثات من المصادر الرسمية فقط، مثل مستودع ووردبريس الرسمي أو WooCommerce.com.
- تأكد من اسم النطاق بدقة: اقرأ الأحرف التي يتكون منها النطاق وطابقها بدقة وأكثر من مرة مع اسم النطاق الرسمي.
- انسخ متجرك احتياطيًا: تأكد من تشغيل النسخ الاحتياطي التلقائي لاستعادة الموقع بسرعة إذا حدث أي خطأ.
وإذا تأكدت أن متجرك قد أصيب بهذه الحملة، فسارع إلى استعادة نسخة احتياطية سابقة تم إنشاؤها قبل الإصابة، وحذر جميع من يمتلك صلاحية تنصيب الإضافات من هذه الثغرة.
علي ملص
30 أبريل، 2025