Keylogger zainfekowany tysięcy witryn WordPress

Computer Security News

Eksperci bezpieczeństwa Sucuri poinformował, że ponad 5.500 stron WordPress zostały zakażone kawałek malware, które jest zdolne do rejestrowania danych wejściowych użytkownika.

Ta infekcja jest częścią kampanii, która została przeanalizowana przez ekspertów bezpieczeństwa w kwietniu. Według nich strony internetowe zostały zakażone kawałek malware o nazwie cloudflare.solutions. W tym czasie szkodnik pakowane cryptominers, a teraz jest dodanie keyloggery do mieszanki.

W chwili obecnej cloudflare.solutions malware znajduje się na stronach internetowych 5,496, i wygląda na to, że liczba wciąż rośnie.

Wstrzyknięciu, skrypty [.] rozwiązania Cloudflare są dodawane do kolejki do witryny WordPress, które używają function.php tematu i fałszywej domeny CloudFlare jest używany w adresach URL. Następnie jeden z adresów URL ładuje kopię legalnych biblioteki ReconnectingWebSocket. Po tym strony głównej domeny twierdzi, że “serwer jest częścią maszynę nauką eksperymentalną uczenia się algorytmy projektu.”

Aby śledzić zainfekowanych stron, skrypt cors.js, który jest używany ładuje Yandex.Metrika (Yandex jest alternatywą dla Google Analytics).

Ponadto eksperci znaleziono dwa adresy URL cdnjs.cloudflare.com z długo szesnastkowych parametrów, z obu z nich należących do CloudFlare. Niemniej jednak nie są uzasadnione i jeden z nich nawet nie istnieje – jest to łącze, aby ładunki dostarczane w postaci liczb szesnastkowych po znaku zapytania w adresach URL.

Skrypt służy do dekodowania ładunki i wstrzyknąć wynik do stron internetowych, co skutkuje złośliwego keylogger.

“Ten skrypt dodaje program obsługi do każdego pola wejściowego, na stronach internetowych, aby wysłać jego wartość do atakującego (wss: //cloudflare[.]solutions:8085/) gdy użytkownik pozostawi to pole” naukowcy Sucuri powiedzieć.

W przypadku, gdy strony WordPress posiada funkcje e-commerce, keylogger pozwala napastników ukraść osadzenie formularza zamówienia, a także poświadczenia logowania szczegóły płatności. Poza tym cloudflare [.] rozwiązania keylogger może być wstrzyknięty do strony logowania, jak również.

Ze względu na fakt, że złośliwy kod jest ukryty w pliku function.php WordPress theme, usuwanie funkcji add_js_scripts i add_action klauzule, które wspomina o add_js_scripts powinny zapobiec ataku.

“Biorąc pod uwagę funkcjonalność keylogger to przed złośliwym oprogramowaniem, należy rozważyć wszystkie hasła WordPress zagrożone więc następnym krokiem obowiązkowego oczyszczania jest zmiana hasła (właściwie to jest wysoce zalecane po dowolnej stronie hack),” zespół Sucuri Państwa.

Biorąc pod uwagę fakt, że tego cloudflare.solutions wstrzykuje coinhive kryptowaluta Górnik skrypty do witryn adminów zdecydowanie zaleca, aby sprawdzić ich strony internetowe dla niektórych innych zakażeń.


Leave a Reply

Your email address will not be published. Required fields are marked *