يقوم ممثلو التهديد بتزوير عمليات التحقق من برنامج Cloudflare DDoS bot في محاولة لإسقاط حصان طروادة (RAT) للوصول عن بُعد على الأنظمة الخاصة بزوار بعض مواقع WordPress التي تم اختراقها سابقًا.
اكتشف باحثون من Sucuri مؤخرًا ناقل الهجوم الجديد أثناء التحقيق في a زيادة في هجمات حقن JavaScript التي تستهدف WordPress المواقع. لاحظوا أن المهاجمين قاموا بحقن نص برمجي في مواقع WordPress مما أدى إلى ظهور مطالبة مزيفة تدعي أنها موقع الويب للتحقق مما إذا كان زائر الموقع بشريًا أو روبوت DDoS.
تقدم العديد من جدران الحماية لتطبيقات الويب (WAFs) وخدمات شبكة توزيع المحتوى هذه التنبيهات بشكل روتيني كجزء من خدمة حماية DDoS الخاصة بهم. لاحظ Sucuri أن JavaScript الجديد هذا على مواقع WordPress يؤدي إلى ظهور نافذة منبثقة مزيفة لحماية Cloudflare DDoS.
انتهى الأمر بالمستخدمين الذين نقروا على المطالبة الوهمية للوصول إلى موقع الويب إلى تنزيل ملف .iso ضار على أنظمتهم. ثم تلقوا رسالة جديدة تطلب منهم فتح الملف حتى يتمكنوا من تلقي رمز التحقق للوصول إلى موقع الويب. كتب سوكوري: "نظرًا لأن هذه الأنواع من عمليات التحقق من المتصفح شائعة جدًا على الويب ، فإن العديد من المستخدمين لن يفكروا مليًا قبل النقر فوق هذه المطالبة للوصول إلى موقع الويب الذي يحاولون زيارته". "ما لا يدركه معظم المستخدمين هو أن هذا الملف هو في الواقع حصان طروادة للوصول عن بُعد ، تم وضع علامة عليه حاليًا من قبل 13 من موردي الأمن في وقت هذا المنشور."
RAT الخطرة
حدد Sucuri حصان طروادة الذي يمكن الوصول إليه عن بُعد على أنه NetSupport RAT ، وهي أداة برمجيات ضارة استخدمها ممثلو برامج الفدية سابقًا لتتبع الأنظمة قبل تقديم برامج الفدية عليهم. تم استخدام RAT أيضًا لإسقاط Racoon Stealer ، سارق المعلومات المعروف الذي اختفى لفترة وجيزة عن الأنظار في وقت سابق من هذا العام من قبل العودة إلى ساحة التهديد فى يونيو. ظهر Racoon Stealer في عام 2019 وكان أحد أكثر سارقي المعلومات غزارة في عام 2021. وزعها ممثلو التهديد بعدة طرق ، بما في ذلك نماذج البرامج الضارة كخدمة وزرعها على مواقع الويب التي تبيع البرامج المقرصنة. مع مطالبات الحماية Cloudflare DDoS الوهمية ، أصبح لدى الجهات الفاعلة في التهديد طريقة جديدة لتوزيع البرامج الضارة.
يقول John Bambenek ، صائد التهديدات الرئيسي في Netenrich: "سيستخدم ممثلو التهديد ، لا سيما عند التصيد الاحتيالي ، أي شيء يبدو مشروعًا لخداع المستخدمين". نظرًا لأن الناس يعتادون على آليات مثل Captcha لاكتشاف وحظر برامج الروبوت ، فمن المنطقي لممثلي التهديد استخدام تلك الآليات نفسها لمحاولة خداع المستخدمين ، كما يقول. يقول بامبنيك: "لا يمكن استخدام هذا فقط لدفع الأشخاص إلى تثبيت البرامج الضارة ، ولكن يمكن استخدامه لإجراء" فحوصات بيانات الاعتماد "لسرقة بيانات اعتماد الخدمات السحابية الرئيسية (مثل) Google و Microsoft و Facebook".
في نهاية المطاف ، يحتاج مشغلو مواقع الويب إلى طريقة لمعرفة الفرق بين مستخدم حقيقي ومستخدم اصطناعي ، أو روبوت ، كما يلاحظ. يضيف بامبينيك أنه في كثير من الأحيان ، كلما زادت فعالية أدوات اكتشاف الروبوتات ، زادت صعوبة فك تشفيرها على المستخدمين.
يقول تشارلز كونلي ، كبير الباحثين في مجال الأمن السيبراني في nVisium ، إن استخدام انتحال المحتوى من النوع الذي لاحظه Sucuri لتقديم RAT ليس جديدًا بشكل خاص. قام مجرمو الإنترنت بشكل روتيني بالخداع التطبيقات والخدمات المتعلقة بالأعمال من شركات مثل Microsoft و Zoom و DocuSign لتقديم برامج ضارة وخداع المستخدمين لتنفيذ جميع أنواع البرامج والإجراءات غير الآمنة.
ومع ذلك ، مع هجمات الانتحال المستندة إلى المستعرض ، فإن الإعدادات الافتراضية على المتصفحات مثل Chrome التي تخفي عنوان URL الكامل أو أنظمة التشغيل مثل Windows التي تخفي امتدادات الملفات يمكن أن تجعل من الصعب حتى على الأفراد المميزين معرفة ما يقومون بتنزيله ومن أين يتم تنزيله ، يقول كونلي.
