تهديدات

حملة برمجيات خبيثة تستهدف مواقع «ووردبرس» لسرقة بيانات بطاقات الدفع

أساليب متطورة تشمل سرقة بيانات الاعتماد وتوزيع برمجيات إضافية عبر مكون إضافي مزيّف

تم النشر في يونيو. 26, 2025

حملة برمجيات خبيثة تستهدف مواقع «ووردبرس» لسرقة بيانات بطاقات الدفع — برمجية خبيثة متقدمة تستخدم مكوناً إضافياً مزيفاً في ووردبريس لسرقة بطاقات الدفع وتضليل الحماية الأمنية.

كشف باحثون في مجال الأمن السيبراني عن حملة جديدة من البرمجيات الخبيثة تتمتع بقدرات متقدمة، تشمل سرقة بيانات بطاقات الدفع، وسرقة بيانات الاعتماد، وتتبّع المستخدمين، عبر مكوّن إضافي مزيّف يستهدف مواقع «ووردبرس».

وأوضحت وحدة استخبارات التهديدات التابعة لمنصة «Wordfence» أن البرمجية الخبيثة، التي تم اكتشافها في 16 مايو الماضي، جاءت على هيئة مكوّن إضافي وهمي، واعتمدت على أساليب مبتكرة لتفادي الاكتشاف، شملت نظاماً تشغيلياً حياً يتم تشغيله من مواقع الويب المصابة نفسها، وهي تقنية غير مسبوقة في الهجمات التي تستهدف مواقع «ووردبرس».

عملية طويلة الأمد بتكتيكات متطوّرة

وأشارت التحقيقات إلى أن الحملة مستمرة منذ سبتمبر 2023 على الأقل، حيث تم تحليل أكثر من 20 عيّنة برمجية أظهرت جميعها سمات مشتركة، من بينها التشفير، تقنيات مقاومة التحليل، اكتشاف أدوات المطورين، وتنفيذ الأوامر الموجّهة.

وبيّن الباحثون أن البرمجية تتجنب العمل على صفحات الإدارة، وتنشط فقط على صفحات إتمام عمليات الشراء، مع التحقق أحياناً من وجود إصابات سابقة لتجنّب استهداف نفس المستخدمين مجدداً.

وفي الإصدارات الأحدث، أضاف المهاجمون نوافذ تراكبية مخصّصة، ونماذج دفع وهمية، واختبارات تحقق بشرية مزيّفة تشبه صفحات الحماية التابعة لـ«Cloudflare».

وفي كثير من الحالات، يتم تهريب البيانات المسروقة عبر سلاسل مشفّرة باستخدام تقنية «Base64» تتخفّى على هيئة روابط صور.

إطار برمجي مرن بمهام متعددة

وكشفت التحليلات أن الحملة لا تقتصر على سرقة بيانات بطاقات الدفع فقط، بل تشمل ثلاثة أنواع إضافية من البرمجيات الخبيثة، لكل منها أهداف مختلفة.

إحدى النسخ استهدفت التلاعب بإعلانات «Google Ads» لخدمة إعلانات مزيّفة للمستخدمين عبر الهواتف المحمولة، بينما سرقت نسخة أخرى بيانات اعتماد الدخول إلى «ووردبرس»، في حين قامت نسخة ثالثة بتوزيع برمجيات خبيثة إضافية من خلال استبدال الروابط.

ورغم اختلاف الأهداف، احتفظت الحملة بإطارها البرمجي الأساسي، مع تكييف المهام حسب كل سيناريو.

وأظهرت بعض الإصدارات استخدام تطبيق «تيليغرام» كقناة مباشرة لتهريب البيانات وتتبع نشاط المستخدمين في الوقت الفعلي.

مكوّن إضافي مزيّف يتخفّى داخل المواقع المصابة

أحد أبرز الاكتشافات كان وجود مكوّن إضافي مزيّف يحمل اسم «WordPress Core»، يبدو وكأنه جزء رسمي من المنصة، لكنه يحتوي على أدوات خبيثة تشمل برمجيات خفيفة (JavaScript Skimmers) وسيناريوهات «PHP» تتيح للمهاجمين التحكّم في البيانات المسروقة مباشرة من داخل الموقع المصاب.

كما استغل المهاجمون روابط «WooCommerce» لتصنيف الطلبات الاحتيالية على أنها مكتملة، وهو ما يساهم في تأخير اكتشاف الهجوم. وشملت البنية التحتية الخلفية للمكوّن نوع منشور مخصص باسم «messages» لتخزين بيانات الدفع المسروقة ضمن نظام إدارة المحتوى نفسه.

مؤشرات الإصابة (IoCs):