أخبار التقنية

تم إصابة حوالي 11000 موقع ببرامج ضارة جيدة في تجنب الاكتشاف


قال باحثون إن ما يقرب من 11 ألف موقع في الأشهر الأخيرة أصيبوا بباب خلفي يعيد توجيه الزائرين إلى المواقع التي تقوم بتجميع المشاهدات الاحتيالية للإعلانات التي يقدمها جوجل أدسنس.

جميع المواقع المصابة البالغ عددها 10890 ، والتي تم العثور عليها من قبل شركة الأمن Sucuri ، تقوم بتشغيل نظام إدارة محتوى WordPress ولديها نصوص PHP مشوشة تم حقنها في ملفات شرعية تعمل على تشغيل مواقع الويب. تتضمن هذه الملفات “index.php” و “wp-signup.php” و “wp-active.php” و “wp-cron.php” وغير ذلك الكثير. تقوم بعض المواقع المصابة أيضًا بحقن شفرة مشفرة في ملف wp-blog-header.php وملفات أخرى. تعمل الشفرة المحقونة الإضافية كباب خلفي مصمم لضمان نجاة البرامج الضارة من محاولات التطهير عن طريق تحميل نفسها في الملفات التي يتم تشغيلها عند إعادة تشغيل الخادم المستهدف.

تقوم هذه الأبواب الخلفية بتنزيل قذائف إضافية ونص برمجي لإرسال أوراق PHP من حزمة ملفات لمجال بعيد[.]العيش ووضعها في ملفات بأسماء عشوائية في مجلدات wp-include و wp-admin و wp-content “، كتب الباحث في Sucuri بن مارتن. “نظرًا لأن إدخال البرامج الضارة الإضافية يتم وضعه في ملف wp-blog-header.php ، فسيتم تنفيذه كلما تم تحميل موقع الويب وإعادة إصابة موقع الويب. وهذا يضمن بقاء البيئة مصابة حتى يتم التعامل مع جميع آثار البرامج الضارة “.

متستر وحازم

تبذل البرامج الضارة جهدًا لإخفاء وجودها عن المشغلين. عندما يقوم زائر بتسجيل الدخول كمسؤول أو زار موقعًا مصابًا خلال الساعتين أو الست ساعات الماضية ، يتم تعليق عمليات إعادة التوجيه. كما ذكرنا سابقًا ، يتم أيضًا تشويش الشفرة الضارة باستخدام تشفير Base64.

بمجرد تحويل الرمز إلى نص عادي ، يظهر بهذه الطريقة:

نفس الكود عند فك الشفرة.
تكبير / نفس الكود عند فك الشفرة.

سوكوري

وبالمثل ، فإن كود الباب الخلفي الذي يخفي الموقع عن طريق التأكد من إعادة إصابته يبدو هكذا عند التعتيم:

كود PHP الخلفي عند ترميزه باستخدام base64.
تكبير / كود PHP الخلفي عند ترميزه باستخدام base64.

عند فك التشفير ، يبدو كالتالي:

الباب الخلفي لـ PHP عند فك تشفيره.
تكبير / الباب الخلفي لـ PHP عند فك تشفيره.

سوكوري

العدوى الجماعية للموقع مستمرة منذ سبتمبر على الأقل. في منشور نُشر في تشرين الثاني (نوفمبر) نبه الناس أولاً إلى الحملة ، حذر مارتن:

في هذه المرحلة ، لم نلاحظ سلوكًا ضارًا على هذه الصفحات المقصودة. ومع ذلك ، قد يضيف مشغلو الموقع في أي وقت برامج ضارة بشكل تعسفي أو يبدأون في إعادة توجيه حركة المرور إلى مواقع ويب أخرى تابعة لجهات خارجية “.

في الوقت الحالي ، يبدو أن الهدف الكامل للحملة هو توليد حركة مرور ذات مظهر عضوي إلى مواقع الويب التي تحتوي على إعلانات Google Adsense. تشمل حسابات Adsense المشاركة في عملية الاحتيال ما يلي:

ar[.]روافدبور[.]كومكاليفورنيا-بوب-8594790428066018
زائد[.]كر- حلال[.]كومca-pub-3135644639015474
مكافئ[.]يوميت[.]كومca-pub-4083281510971702
أخبار[.]إستشارات[.]كومca-pub-6439952037681188
ar[.]الاوائل[.]كومca-pub-5119020707824427
ust[.]aly2um[.]كومكاليفورنيا-بوب -8128055623790566
btc[.]أحدث المقالات[.]كومca-pub-4205231472305856
بسأل[.]البابا[.]كومكاليفورنيا-بوب -1124263613222640
ca-pub-1440562457773158

لجعل الزيارات تتجنب الاكتشاف من أدوات أمان الشبكة ولتظهر على أنها عضوية – بمعنى أنها تأتي من أشخاص حقيقيين يشاهدون الصفحات طواعية – تحدث عمليات إعادة التوجيه من خلال عمليات البحث في Google و Bing:

مصدر الصفحة يظهر أن إعادة التوجيه تحدث من خلال بحث Google.
تكبير / مصدر الصفحة يظهر أن إعادة التوجيه تحدث من خلال بحث Google.

سوكوري

الوجهات النهائية هي في الغالب مواقع الأسئلة والأجوبة التي تناقش عملات البيتكوين أو العملات المشفرة الأخرى. بمجرد زيارة متصفح تمت إعادة توجيهه إلى أحد المواقع ، يكون المحتالون قد نجحوا. أوضح مارتن:

بشكل أساسي ، يضع مالكو مواقع الويب إعلانات معاقبة من Google على مواقعهم ويتقاضون رواتبهم مقابل عدد المشاهدات والنقرات التي يحصلون عليها. لا يهم من أين تأتي هذه المشاهدات أو النقرات ، فقط طالما أنها تعطي انطباعًا لأولئك الذين يدفعون مقابل مشاهدة إعلاناتهم أنهم ، في الواقع ، يتم مشاهدتها.

بطبيعة الحال ، فإن الطبيعة منخفضة الجودة لمواقع الويب المرتبطة بهذه العدوى من شأنها أن تولد في الأساس حركة مرور عضوية صفرية ، وبالتالي فإن الطريقة الوحيدة التي يمكنها من خلالها ضخ حركة المرور هي من خلال الوسائل الضارة.

بعبارة أخرى: تؤدي عمليات إعادة التوجيه غير المرغوب فيها عبر عنوان URL القصير المزيف إلى مواقع أسئلة وأجوبة مزيفة إلى تضخيم عدد المشاهدات / النقرات للإعلان ، وبالتالي تضخيم الإيرادات لمن يقف وراء هذه الحملة. إنها حملة كبيرة جدًا ومستمرة للاحتيال المنظم لإيرادات الإعلانات.

وفقًا لوثائق Google AdSense ، فإن هذا السلوك غير مقبول ويجب على الناشرين عدم وضع الإعلانات التي تقدمها Google على الصفحات التي تنتهك سياسات البريد العشوائي لبحث الويب من Google.

لم يرد ممثلو Google على رسالة بريد إلكتروني تسأل عما إذا كانت الشركة لديها خطط لإزالة حسابات Adsense التي حددها مارتن أو إيجاد وسائل أخرى للقضاء على عملية الاحتيال.

ليس من الواضح كيف تصاب المواقع بالعدوى في المقام الأول. بشكل عام ، الطريقة الأكثر شيوعًا لإصابة مواقع WordPress هي استغلال المكونات الإضافية الضعيفة التي تعمل على الموقع. قال مارتن إن Sucuri لم يتعرف على أي مكونات إضافية للعربات التي تجرها الدواب تعمل على المواقع المصابة ، لكنه أشار أيضًا إلى وجود مجموعات استغلال تعمل على تبسيط القدرة على العثور على العديد من الثغرات الأمنية التي قد تكون موجودة على الموقع.

توفر منشورات Sucuri الخطوات التي يمكن لمسؤولي مواقع الويب اتباعها لاكتشاف وإزالة الإصابات. يجب على المستخدمين النهائيين الذين يجدون أنفسهم أعيد توجيههم إلى أحد مواقع الاحتيال هذه إغلاق علامة التبويب وعدم النقر فوق أي محتوى.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى