News

Aproape 5,500 Site-uri WordPress Infectate cu Keylogger

By December 7, 2017 No Comments

Mai exact 5,496 website-uri construite pe platforma WordPress, au fost infectate cu un script, care copiaza keystroke-urile si din cand in cand incarca browser-ul cu un miner de monede virtuale (BitCoin).

Codul din script este incarcat de pe domeniul “cloudflare.solutions”, care nu are nici o legatura cu site-ul CloudFlare (care ofera protectie DDoS), de asemenea scriptul copiaza toate informatiile care userii scriu pe site.

Scriptul functioneaza pe frontend and backend, acest lucru inseamna, ca username-ul si parola sunt furate atunci cand admin-ul intra in Dashboard.

keylogger

De asemenea scriptul este periculos pentru website-urile care functioneaza ca si magazin online pentru ca datele utilizatorilor pot fi furate, alaturi de informatiile cardului de credit, adresa, si alte informatii sensibile.

Astfel de incidente apar atunci cand hackerii compromit site-urile WordPress prin diferite metode, si isi ascund codul (script-ul) in fisierul functions.php, un fisier standard, care vine alaturi de templater-urile WordPress (themes).

Atacuri active inca din Aprilie

Aceste atacuri nu sunt chiar noi, Sucuri (firma de securitate online) a facut o campanie, pentru a loga astfel de atacuri. Ei au descoperit ca pe domeniul cloudflare.solutions, au fost 3 scripturi diferite. Primul atac a fost inregistrat in Aprilie 2017, atacatorii au folosit fisier JavaScript, in bannere pe site-urile afectate.

Acelasi group de atacatori, in Noiembrie 2017, si-au schimbat tactica, au incarcat script-ul cu un jQuery fals si Google Analytics JavaScript, care de fapt erau o copie a Coinhive (soft de minat cripto-monede). In luna respectiva, campania lor a infectat 1,833 website-uri.

In ultimul atac, care a fost detectat de Sucuri, hackerii au pastrat CoinHive, si au adaugat o componenta keylogger.

Momentan scriptul este activ pe aproape 5,500 website-uri

Conform PublicWWW, acest cod “rau” este activ pe 5,396 website-uri WordPress.

Expertii Sucuri, au spus urmatoarele:

După cum am menționat deja, codul rău intenționat se află în fișierul functions.php al temei WordPress. Ar trebui să eliminați funcția add_js_scripts și toate clauzele add_action care menționează add_js_scripts. Având în vedere funcționalitatea keylogger a acestui malware, ar trebui să luați în considerare toate parolele WordPress compromise, astfel încât următorul pas obligatoriu al curățării să schimbe parolele (de fapt este foarte recomandat după orice hacking al site-ului). Nu uitați să verificați site-ul dvs. și pentru alte infecții.

Gabriel

Author Gabriel

More posts by Gabriel

Leave a Reply