
Himanshu Anand، محقق c/side، در تحلیلی در روز چهارشنبه ۵ مارس ۲۰۲۵ گفت[۱]: «ایجاد چهار درب پشتی، مهاجمانی را که دارای چندین نقطه ورود مجدد هستند، درصورتیکه یکی شناسایی و حذف شود، تسهیل میکند.»
کد جاوا اسکریپت مخرب از طریق cdn.csyndication[.]com ارائه شده است. تا زمان نگارش، ۹۰۸ وبسایت[۲] حاوی ارجاعاتی به دامنه موردنظر هستند.
عملکرد چهار درب پشتی در زیر توضیح داده شده است:
- Backdoor 1، که یک افزونه جعلی به نام “Ultra SEO Processor” را آپلود و نصب میکند که سپس برای اجرای دستورات مهاجم استفاده میشود.
- Backdoor 2 که جاوا اسکریپت مخرب را به wp-config.php تزریق میکند.
- Backdoor 3، که یک کلید SSH کنترلشده توسط مهاجم را به فایل ~/.ssh/authorized_keys اضافه میکند تا امکان دسترسی دائمی از راه دور به دستگاه را فراهم کند.
- Backdoor 4 که برای اجرای دستورات از راه دور طراحیشده و payload دیگری را از gsocket[.]io fetch میکند[۳] تا احتمالاً shell معکوس را باز کند.
برای کاهش خطرات ناشی از این حملات، توصیه میشود که کاربران کلیدهای SSH غیرمجاز را حذف کنند، اعتبار مدیریت وردپرس را بچرخانند و گزارشهای سیستم را برای فعالیت مشکوک نظارت کنند.
این توسعه زمانی اتفاق میافتد که یک شرکت امنیت سایبری بهتفصیل توضیح داد[۴] که یک کمپین بدافزار دیگر بیش از ۳۵۰۰۰ وبسایت را با جاوا اسکریپت مخرب به خطر انداخته است که “پنجره مرورگر کاربر را کاملاً ربوده است” تا بازدیدکنندگان سایت را به پلتفرمهای قمار به زبان چینی هدایت کند.
«به نظر میرسد این حمله مناطقی را هدف قرار میدهد که در آن Mandarin رایج است و صفحات فرود نهایی محتوای قمار را با نام تجاری «Kaiyun» ارائه میکنند.
تغییر مسیرها از طریق جاوا اسکریپت میزبانیشده در پنج دامنه مختلف انجام میشود که بهعنوان بارگیری برای بار اصلی مسئول انجام تغییر مسیرها عمل میکند:
- mlbetjs[.]com
- ptfafajs[.]com
- zuizhongs[.]com
- jbwzzzjs[.]com
- jpbkte[.]com
این یافتهها همچنین به دنبال گزارش جدیدی از Group-IB در مورد یک عامل تهدید به نام ScreamedJungle است که یک جاوا اسکریپت با نام کد Bablosoft JS را به وبسایتهای Magento در معرض خطر تزریق میکند تا اثرانگشت کاربران بازدیدکننده را جمعآوری کند. اعتقاد بر این است که تا به امروز بیش از ۱۱۵ سایت تجارت الکترونیک تحت تأثیر قرارگرفتهاند.
این شرکت سنگاپوری گفت[۵] اسکریپت تزریقشده “بخشی از مجموعه Bablosoft BrowserAutomationStudio (BAS) است[۶] و افزود که “شامل چندین عملکرد دیگر برای جمعآوری اطلاعات در مورد سیستم و مرورگر کاربرانی است که از وبسایت در معرض خطر بازدید میکنند.”
گفته میشود که مهاجمان از آسیبپذیریهای شناختهشدهای که بر نسخههای آسیبپذیر Magento (مانند CVE-2024-34102 با نام مستعار CosmicSting و CVE-2024-20720) تأثیر میگذارند[۷]، برای نفوذ به وبسایتها بهرهبرداری میکنند. این بازیگر با انگیزه مالی برای اولین بار در اواخر ماه مه ۲۰۲۴ در سطح اینترنت کشف شد.
Group-IB گفت: «انگشتنگاری مرورگر یک تکنیک قدرتمند است که معمولاً توسط وبسایتها برای ردیابی فعالیتهای کاربر و تنظیم استراتژیهای بازاریابی استفاده میشود. بااینحال، این اطلاعات نیز توسط مجرمان سایبری برای تقلید از رفتار قانونی کاربران، فرار از اقدامات امنیتی و انجام فعالیتهای متقلبانه مورد بهرهبرداری قرار میگیرد.»
[۱] https://cside.dev/blog/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack
[۲] https://publicwww.com/websites/csyndication.com
[۳] https://thehackernews.com/2025/01/python-based-bots-exploiting-php.html
[۴] https://cside.dev/blog/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam
[۵] https://www.group-ib.com/blog/fingerprint-heists
[۶] https://thehackernews.com/2022/05/hackers-increasingly-using-browser.html
[۷] https://thehackernews.com/2024/10/alert-adobe-commerce-and-magento-stores.html
[۸] https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.html
ثبت ديدگاه