عادت هجمات تعدين العملات الرقمية الخبيثة، حيث اخترقت أكثر من 3500 موقع إلكتروني، وسيطرت على متصفحات المستخدمين خلسةً لتعدين مونيرو الرقمية ، وهي عملة رقمية تركز على الخصوصية. وقد كشفت شركة الأمن السيبراني c/side عن هذه الحملة يوم الثلاثاء، بعد مرور ما يقرب من سبع سنوات على إغلاق خدمة Coinhive التي كانت قد ساهمت في نشر هذه الأساليب منذ عام 2017.
بحسب باحثي c/side، فإنّ البرمجية الخبيثة مُخبأة في شيفرة جافا سكريبت مُبهمة، تقوم بنشر برنامج تعدين العملات الرقمية خلسةً عند زيارة المستخدمين لموقع مُصاب. بمجرد وصول الزائر إلى الصفحة المُخترقة، يُقيّم البرنامج النصي بهدوء قدرة معالجة الجهاز، ثم يُشغّل عمليات Web Workers متوازية في الخلفية لتنفيذ عمليات التعدين، دون علم المستخدم.
من خلال تقييد استخدام المعالج وتوجيه الاتصالات عبر تدفقات WebSocket، يتجنب برنامج التعدين اكتشافه، متخفياً خلف حركة مرور المتصفح العادية. وأوضح محللو c/side: "الهدف هو استنزاف الموارد بمرور الوقت، مثل مصاص دماء رقمي يستنزفها باستمرار".
كيف يعمل برنامج اختراق العملات المشفرة
برنامج c/side كود مُدرج في موقع ويب عبر ملف جافا سكريبت تابع لجهة خارجية تم تحميله من https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo. وبدلاً من تعدين عملة مونيرو عند التشغيل الأولي، يتحقق البرنامج أولاً مما إذا كان متصفح المستخدم يدعم WebAssembly، وهو معيار لتشغيل التطبيقات ذات متطلبات المعالجة العالية.
يقوم البرنامج بعد ذلك بتقييم مدى ملاءمة الجهاز للتعدين، ثم يُشغّل عمليات ويب خلفية تُسمى "وورسي"، والتي تتولى مهام التعدين بسرية تامة دون التأثير على عملية المتصفح الرئيسية. تُدخل الأوامر ومستويات كثافة التعدين من خادم التحكم والسيطرة (C2) عبر اتصالات WebSocket.
سبق أن ارتبط نطاق استضافة برنامج تعدين جافا سكريبت بحملات ماجيكارت سيئة السمعة لسرقة بيانات بطاقات الدفع. وهذا قد يعني أن المجموعة التي تقف وراء الحملة الحالية لها تاريخ في الجرائم الإلكترونية.
ينتشر التهديد من خلال استغلال الثغرات الأمنية في المواقع الإلكترونية
في الأسابيع الأخيرة، اكتشف خبراء الأمن السيبراني عدة هجمات من جانب المستخدم على مواقع الويب التي تعمل بنظام ووردبريس. وقد رصد الباحثون أساليب إصابة تقوم بتضمين أكواد جافا سكريبت أو PHP خبيثة في مواقع ووردبريس.
بدأ المهاجمون في إساءة استخدام نظام OAuth الخاص بجوجل عن طريق تضمين جافا سكريبت في معلمات رد الاتصال المرتبطة بعناوين URL مثل "accounts.google.com/o/oauth2/revoke". يقوم التوجيه بإعادة توجيه المتصفحات عبر حمولة جافا سكريبت مخفية تقوم بإنشاء اتصال WebSocket بخادم الجهة الخبيثة.
تعتمد طريقة أخرى على حقن البرامج النصية عبر مدير علامات جوجل (GTM)، والتي تُدمج مباشرةً في جداول قاعدة بيانات ووردبريس مثل wp_options و wp_posts. يقوم هذا البرنامج النصي بإعادة توجيه المستخدمين خلسةً إلى أكثر من 200 نطاق بريد عشوائي.
تشمل الأساليب الأخرى إجراء تغييرات في ملفات wp-settings.php الخاصة بـ WordPress لجلب حمولات من ملفات ZIP المضغوطة المستضافة على خوادم بعيدة. بمجرد تفعيلها، تُصيب هذه البرامج النصية ترتيب الموقع في محركات البحث وتضيف محتوى لتحسين ظهور المواقع الاحتيالية.
في إحدى الحالات، تم حقن شيفرة برمجية في ملف PHP الموجود في تذييل قالب الموقع، مما أدى إلى إعادة توجيه المتصفح للمستخدم إلى مواقع ويب خبيثة. وفي حالة أخرى، تم استخدام إضافة ووردبريس مزيفة تحمل اسم النطاق المصاب، وتكتشف زيارات برامج زحف محركات البحث للصفحة. ثم تقوم هذه الإضافة بنشر محتوى غير مرغوب فيه للتلاعب بترتيب نتائج البحث، دون أن يلاحظه الزوار.
أشار فريق C/side إلى اختراق إصداري Gravity Forms الإضافيين 2.9.11.1 و2.9.12 وتوزيعهما عبر الموقع الرسمي للإضافة في هجوم على سلسلة التوريد. تتصل النسخ المُعدّلة بخادم خارجي لجلب حمولات إضافية ومحاولة إنشاء حساب إداري على موقع .
في خريف عام 2024، وقعت الوكالة الأمريكية للتنمية الدولية (USAID) ضحية لعملية تعدين العملات الرقمية بعد أن نبهت الوكالة إلى اختراق حساب مدير في بيئة اختبار. استخدم المهاجمون هجومًا عشوائيًا لتخمين كلمات المرور للوصول إلى النظام، ثم أنشأوا حسابًا ثانيًا لعمليات تعدين العملات الرقمية عبر البنية التحتية السحابية Azure التابعة للوكالة.
