.webp)
اختطفت عملية إلكترونية خبيثة واسعة النطاق آلاف المواقع الإلكترونية التي تستهدف جماهير شرق آسيا لإعادة توجيه الزائرين إلى محتوى خاص بالبالغين منذ أوائل سبتمبر 2022.
تستلزم الحملة المستمرة حقن شفرة JavaScript ضارة في مواقع الويب التي تم اختراقها ، وغالبًا ما تتصل بخادم الويب الهدف باستخدام بيانات اعتماد FTP المشروعة التي حصل عليها ممثل التهديد سابقًا عبر طريقة غير معروفة.
وقال ويز في تقرير نُشر هذا الشهر: "في كثير من الحالات ، كانت هذه بيانات اعتماد FTP آمنة للغاية تم إنشاؤها تلقائيًا والتي تمكن المهاجم بطريقة ما من الحصول عليها والاستفادة منها لاختطاف مواقع الويب" .
أشارت شركة الأمان السحابية إلى أن حقيقة أن مواقع الويب التي تم اختراقها - المملوكة لكل من الشركات الصغيرة والشركات متعددة الجنسيات - تستخدم مجموعات تقنية مختلفة ومزودي خدمات الاستضافة ، جعلت من الصعب تتبع ناقل هجوم شائع.
بعد قولي هذا ، فإن أحد القواسم المشتركة بين المواقع هو أن معظمها إما مستضاف في الصين أو مستضاف في بلد مختلف ولكنها معدة للمستخدمين الصينيين.
علاوة على ذلك ، فإن عناوين URL التي تستضيف شفرة JavaScript الخادعة تم تحديد موقعها جغرافيًا للحد من تنفيذها في بعض دول شرق آسيا.
هناك أيضًا مؤشرات على أن الحملة قد حددت أنظارها على Android أيضًا ، حيث يقود النص البرمجي لإعادة التوجيه الزائرين إلى مواقع ويب المقامرة التي تحثهم على تثبيت تطبيق (اسم حزمة APK " com.tyc9n1999co.coandroid ").
هوية الفاعل المهدِّد غير معروفة حتى الآن ، وعلى الرغم من عدم تحديد دوافعهم الدقيقة بعد ، يُشتبه في أن الهدف هو تنفيذ الاحتيال في الإعلانات والتلاعب بـ SEO ، أو بدلاً من ذلك ، توجيه حركة مرور غير عضوية إلى هذه المواقع .
جانب آخر ملحوظ للهجمات هو عدم وجود التصيد الاحتيالي أو سرقة الويب أو الإصابة بالبرامج الضارة.
قال الباحثان أميتاي كوهين وباراك شاروني: "ما زلنا غير متأكدين من كيفية حصول المهاجم على وصول مبدئي إلى العديد من المواقع ، ولا يزال يتعين علينا تحديد أي قواسم مشتركة مهمة بين الخوادم المتأثرة بخلاف استخدامهم لبروتوكول نقل الملفات".
"على الرغم من أنه من غير المحتمل أن يستخدم ممثل التهديد ثغرة أمنية لمدة يوم نظرًا للتطور المنخفض الواضح للهجوم ، لا يمكننا استبعاد ذلك كخيار."