Keylogger інфіковані тисячі сайтів в WordPress

Computer Security News

Sucuri безпеки експерти повідомили, що більше ніж 5500 WordPress сайти були інфіковані шматок шкідливі програми, який здатний журналювання введені користувачем.

Ця інфекція є частиною квітня кампанії, яка була проаналізована експертами безпеки. За їхніми словами веб-сайти були інфіковані шматок назвою cloudflare.solutions шкідливих програм. У той час шкідливі програми упаковані cryptominers, і тепер це додавання кілоггерів в суміш.

В даний час cloudflare.solutions шкідливих програм присутня на 5,496 веб-сайти, і схоже, що число продовжує зростати.

Ін’єкції, Cloudflare [.] рішення скрипти додаються до черги на WordPress сайти, які використовують function. PHP теми за, і підробленому домені CloudFlare використовується в URL-адреси. Потім один з URL-адреси завантажує копію законних бібліотеки ReconnectingWebSocket. Після цього Головна сторінка домену стверджує, що “сервер частини машини експериментальних наука навчання алгоритми проекту.”

Для відстеження заражених сайтів, cors.js сценарій, який використовується там навантажень Yandex.Metrika (альтернатива Яндекс і Google Analytics).

Крім того, експерти знайшли два cdnjs.cloudflare.com URL-адреси з давно шістнадцяткові параметрів з обома з них, що належить CloudFlare. Тим не менш, вони не є законним і один з них навіть не існує – це посилання корисне навантаження доставлений у вигляді шістнадцяткові цифри після знаку запитання в URL-адреси.

Мета сценарію є декодувати до корисне навантаження і надати результат в веб-сайти, що призводить до шкідливих кейлоггер.

“Цей скрипт додає обробник кожен поле введення на веб-сайтах відправити його значення в атакуючий (wss: //cloudflare[.]solutions:8085/) коли користувач залишає цього поля,” Sucuri дослідники говорять.

У випадку, якщо сайт WordPress має деякі функціональні можливості електронної комерції, keylogger дозволяє зловмисникам вкрасти платіжні реквізити вбудовування перевірки формі, а також Логін повноваження. Крім того, cloudflare [.] рішення кейлоггер можна вводити до Логін сторінки так само успішно.

У зв’язку з тим, що шкідливий код приховані в function. php файл теми WordPress, видалення add_js_scripts функція і add_action вирази, що згадати add_js_scripts повинні недопущення наступу.

“Враховуючи кейлоггер функціональність цього шкідливих програм, ви повинні розглянути всі паролі WordPress скомпрометовані, так що наступний Обов’язковий крок очищення є зміна пароля (насправді настійно рекомендується після того, як зламати будь-який сайт),” Sucuri команда держави.

Зважаючи на те, що cloudflare.solutions впроваджує coinhive cryptocurrency Шахтар скрипти на сайти адміністратори настійно рекомендується перевірити свої сайти для деяких інших інфекцій.


Leave a Reply

Your email address will not be published. Required fields are marked *