تستمر حملات ClickFix منذ عام تقريبًا، ولا تُظهر أي علامات على التباطؤ. في بداية العام الدراسي، قامت نوافذ CAPTCHA الخبيثة بتنزيل برامج infostealer على أجهزة مستخدمي الإنترنت الذين وقعوا في الفخ، وفي الأسبوع الماضي، استخدم المُخترقون إصلاحات زائفة لـ Google Meet كأحصنة طروادة. اليوم، آلاف المواقع التي تعمل بنظام WordPress، والتي تم اختراقها مُسبقًا، تعرض مكونات إضافية مُصابة بالفيروسات، مما يُولد تنبيهات تحديث مزيفة للمُتصفحات. لذا، توخَّ الحذر إذا كنت معتادًا على زيارة المواقع والمدونات التي تستضيفها منصة إدارة المحتوى.
6000 موقع WordPress مُخترق
تطلب الأمر تقارير مُتبادلة من GoDaddy و Sucuri لإدراك حجم الهجوم. يوم الجمعة الماضي، نشر مُدير اسم النطاق مُلاحظة على مدونته أشار فيها إلى اختراق أكثر من 6000 موقع WordPress في إطار حملة ClickFix، والتي تتم مُراقبة أحدث مُتغيراتها، النشطة للغاية في الوقت الحالي، عن كثب منذ يونيو 2024. بالإضافة إلى ذلك، حددت شركة الأمن أيضًا مكونات ناقلة لبرامج infostealers، تُشارك في نفس الحملة.
بالتفصيل، يتبع الهجوم نمطًا مُشابهًا لتلك التي لوحظت بالفعل في الماضي. تدفع عناصر الويب الاحتيالية المستخدمين بشكل خفي للنقر فوق النوافذ المُنبثقة لتنزيل برنامج infostealer. في هذه الحالة بالتحديد، يتعلق الأمر بمكونات إضافية ضارة، مُدمجة في صفحات WordPress المُصابة، تُولد تنبيهات تحديث لمُتصفحات الويب. بمُجرد استرداد البرنامج النصي، تتم دعوة المستخدمين لتثبيته. ولكن بينما يعتقدون أنهم يقومون ببساطة بتحديث Google Chrome وما شابه ذلك، فإنهم يُفعلون في الواقع حمولة مُصممة لسرقة بياناتهم الشخصية وإرسالها إلى خادم بعيد.
ولكن في حين أن أساليب ClickFix كانت تستهدف مُستخدمي الإنترنت مُباشرةً حتى الآن، من خلال صفحات الويب المزيفة على وجه الخصوص، فإن القراصنة الذين يقفون وراء هذا الهجوم الجديد قد تمكنوا من اختراق مواقع WordPress المُتضررة من خلال سرقة بيانات الاعتماد مُسبقًا – على ما يبدو تم استردادها بالقوة الغاشمة والتصيد الاحتيالي و infostealer. وفقًا لتحليلات GoDaddy، قاموا بعد ذلك بأتمتة تثبيت المكونات الإضافية، والتي تبدو شرعية وغير ضارة، عبر وحدة تحكم المشرف. بمُجرد تكوينها، تُحقن هذه الوحدات المُصابة برنامجًا نصيًا JavaScript في HTML للموقع المُخترق، مما يُشغل نظام التنبيه الاحتيالي على جانب القُراء، في كل زيارة.
مُراجعة عادات التصفُّح لتجنُّب الوقوع ضحية
إذا كنت معتادًا على زيارة المواقع والمدونات التي تستضيفها WordPress، فتأكد من توخي الحذر الشديد. إذا واجهت هذه الأنواع من التنبيهات، فلا تنقر على الرابط المُضمن وأبلغ مُشرف المدونة. ضع في اعتبارك أن المُتصفحات تُجري تحديثاتها تلقائيًا بشكل عام. في حالة الشك، لا تتردد في التحقق من حالة التحديثات في إعدادات البرنامج، أو انتقل مُباشرةً إلى النظام الأساسي الرسمي للناشر لتنزيل أحدث إصدار. يُمكن أن يُساعدك برنامج مُكافحة فيروسات مُكمِّل لـ Microsoft Defender أو نظام أمان Apple الأصلي، مثل Bitdefender أو Norton 360، على تجنُّب تنزيلات وتثبيت البرامج النصية الضارة. إذا كنت أنت نفسك مُشرف مدونة WordPress، فتحقق الآن من قائمة المكونات الإضافية المُثبتة على موقعك. في حالة اكتشاف وحدة نمطية مُريبة، احذفها على الفور وجدِّد مجموعة كلمات مرور المشرف دون انتظار.
