يستغل المتسللون مواقع WordPress لتشغيل هجمات التصيد الاحتيالي من الجيل التالي ClickFix

يلفت باحثو الأمن السيبراني الانتباه إلى حملة شائنة تستهدف مواقع WordPress لإجراء عمليات حقن جافا سكريبت ضارة مصممة لإعادة توجيه المستخدمين إلى مواقع غير واضحة.

“يحصل زوار الموقع على محتوى محقون كان مدفوعًا ببرامج ضارة مثل التحقق المزيف من Cloudflare،” الباحث في Sucuri Puja Srivastava قال في تحليل نشر الأسبوع الماضي.

قالت شركة أمان مواقع الويب إنها بدأت تحقيقًا بعد أن قام أحد مواقع WordPress الخاصة بعملائها بتقديم JavaScript مشبوه تابع لجهة خارجية لزوار الموقع، ووجدت في النهاية أن المهاجمين أدخلوا تعديلات ضارة على ملف متعلق بالموضوع (“functions.php”).

تتضمن الشفرة المُدرجة في “functions.php” إشارات إلى إعلانات Google، وذلك على الأرجح في محاولة لتجنب اكتشافها. ولكنه في الواقع يعمل كمحمل عن بعد عن طريق إرسال طلب HTTP POST إلى النطاق “brazilc[.]com”، والذي بدوره يستجيب بحمولة ديناميكية تتضمن مكونين –

• ملف JavaScript مستضاف على خادم بعيد (“porsasystem[.]com”)، والذي كان كذلك حتى وقت كتابة هذا التقرير تمت الإشارة إليه في 17 موقعًا إلكترونيًا ويحتوي على رمز لإجراء عمليات إعادة توجيه الموقع
• جزء من كود JavaScript يقوم بإنشاء إطار iframe مخفي بحجم 1 × 1 بكسل، حيث يتم من خلاله إدخال تعليمات برمجية تحاكي أصول Cloudflare المشروعة مثل “cdn-cgi/challenge-platform/scripts/jsd/main.js” – وهي واجهة برمجة التطبيقات التي تعد جزءًا أساسيًا من منصة اكتشاف الروبوتات والتحدي الخاصة بها

ومن الجدير بالذكر أن المجال “porsasystem[.]com” كان تم وضع علامة عليها مثل جزء لنظام توزيع حركة المرور (TDS) يسمى Kongtuke (المعروف أيضًا باسم 404 TDS وChaya_002 وLandUpdate808 وTAG-124).

وبحسب المعلومات التي شاركها حساب باسم “مراقبينز” في Mastodon في 19 سبتمبر 2025، بدأت سلسلة العدوى بزيارة المستخدمين لموقع مخترق، مما أدى إلى تنفيذ “porsasystem”[.]com/6m9x.js”، والذي يؤدي بعد ذلك إلى “porsasystem[.]com/js.php” لنقل الضحايا في النهاية إلى الصفحات ذات نمط ClickFix لتوزيع البرامج الضارة.

توضح النتائج الحاجة إلى تأمين مواقع WordPress والتأكد من تحديث المكونات الإضافية والموضوعات وبرامج موقع الويب، وفرض كلمات مرور قوية، وفحص المواقع بحثًا عن الحالات الشاذة و حسابات المسؤول غير متوقعة تم إنشاؤها للحفاظ على الوصول المستمر حتى بعد اكتشاف البرامج الضارة وإزالتها.

“تسمح هذه الأداة للجهات الفاعلة في مجال التهديد بإنشاء صفحات تصيد قابلة للتخصيص بدرجة كبيرة تحاكي سلوك التحدي والاستجابة لصفحة التحقق من المتصفح التي يتم نشرها بشكل شائع بواسطة شبكات توصيل المحتوى (CDNs) وموفري الأمان السحابي للدفاع ضد التهديدات الآلية،” الباحث الأمني ​​عامر الساد. قال. “تم تصميم الواجهة المخادعة لتبدو شرعية للضحايا، مما يزيد من فعالية الإغراء.”

تأتي صفحات التصيد المخصصة أيضًا مزودة بقدرات للتعامل مع الحافظة، وهي خطوة حاسمة في هجوم ClickFix، بالإضافة إلى اكتشاف نظام التشغيل المستخدم من أجل تخصيص تسلسل الإصابة وخدمة البرامج الضارة المتوافقة.

في حالتين مختلفتين على الأقل، تم اكتشاف جهات التهديد باستخدام الصفحات التي تم إنشاؤها باستخدام المجموعة لنشر برامج سرقة المعلومات مثل DeerStealer وOdyssey Stealer، والأخيرة مصممة لاستهداف أنظمة Apple macOS.

يضيف ظهور IUAM ClickFix Generator إلى تنبيه سابق من Microsoft يحذر من ارتفاع عدد منشئي ClickFix التجاريين في المنتديات السرية منذ أواخر عام 2024. ومن الأمثلة البارزة الأخرى على مجموعة التصيد الاحتيالي التي دمجت العرض هو Impact Solutions.

أشارت Microsoft مرة أخرى في أغسطس 2025 إلى أن “المجموعات توفر إنشاء صفحات مقصودة مع مجموعة متنوعة من الإغراءات المتاحة، بما في ذلك Cloudflare. كما أنها توفر إنشاء أوامر ضارة سيلصقها المستخدمون في مربع حوار Windows Run. تدعي هذه المجموعات أنها تضمن تجاوز برامج مكافحة الفيروسات وحماية الويب (حتى أن البعض يعد بإمكانية تجاوز Microsoft Defender SmartScreen)، بالإضافة إلى استمرارية الحمولة.”

وغني عن القول أن هذه الأدوات تعمل على تقليل حاجز الدخول أمام مجرمي الإنترنت، مما يمكنهم من شن هجمات متطورة ومتعددة المنصات على نطاق واسع دون بذل الكثير من الجهد أو الخبرة الفنية.

ClickFix يصبح متخفيًا عبر تهريب ذاكرة التخزين المؤقت

تأتي النتائج أيضًا في أعقاب اكتشاف حملة جديدة ابتكرت صيغة هجوم ClickFix من خلال استخدام تقنية خادعة يشار إليها باسم تهريب مخبأ للطيران تحت الرادار بدلاً من تنزيل أي ملفات ضارة بشكل صريح على المضيف المستهدف.

“تختلف هذه الحملة عن متغيرات ClickFix السابقة من حيث أن البرنامج النصي الخبيث لا يقوم بتنزيل أي ملفات أو الاتصال بالإنترنت،” طرد الباحث الرئيسي في مجال التهديدات ماركوس هاتشينز قال. “يتم تحقيق ذلك عن طريق استخدام ذاكرة التخزين المؤقت للمتصفح لتخزين البيانات العشوائية بشكل استباقي على جهاز المستخدم.”

وقالت شركة Expel إنها لم تتمكن من تحديد الحمولة النهائية التي تم تلقيها كجزء من الهجوم. كما أنه من غير المعروف حاليًا من هو المستخدمون الذين تتم إعادة توجيههم إلى صفحة التصيد الاحتيالي، وما إذا كانت تتضمن تقنيات مثل الإعلانات الضارة أو التسمم بتحسين محركات البحث (SEO).

وقال هاتشينز لصحيفة The Hacker News: “يتم استخدام الملف المستخرج من ذاكرة التخزين المؤقت لإعداد مهمة مجدولة، والتي يتم ضبطها للتشغيل بعد كل عملية إعادة تشغيل”. “عند تشغيل المهمة، فإنها تتصل بخادم الأوامر والتحكم في انتظار أوامر المتابعة.”

في الهجوم الذي وثقته شركة الأمن السيبراني، تتنكر الصفحة التي تحمل موضوع ClickFix على أنها مدقق توافق Fortinet VPN، باستخدام تكتيكات FileFix لخداع المستخدمين لبدء تشغيل Windows File Explorer ولصق أمر ضار في شريط العناوين لبدء تنفيذ الحمولة.

تم تصميم الأمر غير المرئي لتشغيل برنامج PowerShell النصي عبر conhost.exe. ما يميز البرنامج النصي هو أنه لا يقوم بتنزيل أي برامج ضارة إضافية أو الاتصال بخادم يتحكم فيه المهاجم. وبدلاً من ذلك، فإنه ينفذ حمولة مبهمة تمرر كصورة JPEG وهي موجودة بالفعل المخزنة مؤقتا بواسطة المتصفح عندما يصل المستخدم إلى صفحة التصيد الاحتيالي.

وأوضح هاتشينز: “لا تقوم صفحة الويب ولا البرنامج النصي PowerShell بتنزيل أي ملفات بشكل صريح”. “من خلال السماح للمتصفح بالتخزين المؤقت للصورة المزيفة، تكون البرامج الضارة قادرة على الحصول على ملف ZIP كامل على النظام المحلي دون الحاجة إلى أمر PowerShell لتقديم أي طلبات ويب.”

“إن الآثار المترتبة على هذه التقنية مثيرة للقلق، حيث أن تهريب ذاكرة التخزين المؤقت قد يوفر طريقة للتهرب من الحماية التي قد تلتقط الملفات الضارة أثناء تنزيلها وتنفيذها. يتم تنزيل ملف “image/jpeg” ذو المظهر غير الضار، فقط لاستخراج محتوياته ثم تنفيذها عبر أمر PowerShell المخفي في إغراء التصيد الاحتيالي ClickFix.”

(تم تحديث القصة بعد النشر لتشمل رؤى إضافية من Expel.)