Keylogger infekterade tusentals WordPress webbplatser

Computer Security News

Sucuri säkerhetsexperter rapporterade att mer än 5.500 WordPress platser har smittats med en bit av malware som kan logga användarindata.

Denna infektion är en del av en kampanj som analyserades av säkerhetsexperter i April. Enligt dem var webbplatser infekterade med en bit av malware som heter cloudflare.solutions. På den tiden, malware packat cryptominers, och det att nu lägga till keyloggers till mixen.

För närvarande cloudflare.solutions malware är närvarande på 5,496 webbplatser och det ser ut som antalet fortsätter att öka.

Som injiceras, Cloudflare [.] lösningar skript läggs till i en kö till WordPress webbplatser som använder temats function.php och en falsk CloudFlare-domän används i webbadresser. Sedan laddar en av URL: er en kopia av en legitim ReconnectingWebSocket bibliotek. Efter att hävdar huvudsidan för domänen att ”servern är en del av en experimentell vetenskap maskininlärning algoritmer projekt”.

För att spåra de infekterade webbplatserna, laddar en cors.js script som används där Yandex.Metrika (Yandexs alternativ till Google Analytics).

Dessutom experterna hittade två cdnjs.cloudflare.com webbadresser med långa hexadecimala parametrar, med dem båda tillhör CloudFlare. Ändå, dessa är inte legitima och en av dem ens existerar inte – det är en länk till nyttolaster levereras i form av hexadecimala tal efter frågetecknet i webbadresser.

Syftet med skriften är att avkoda nyttolasterna och injicera resultatet i webbplatserna, vilket resulterar i skadliga keylogger.

”Skriptet lägger till en hanterare för varje inmatningsfält på webbplatser att skicka dess värde till angriparen (wss: //cloudflare[.]solutions:8085/) när en användare lämnar fältet”, Sucuri forskarna säger.

WordPresswebbplats har vissa e-handel funktioner, låter keylogger angriparna stjäla betalningsinformation inbäddning en kassaformuläret samt inloggningsuppgifter. Cloudflare [.] lösningar keylogger kan dessutom injiceras till inloggningssidor också.

På grund av att den skadliga koden är dold i filen function.php av wordpresstema, bör att ta bort funktionen add_js_scripts och add_action klausuler som nämner add_js_scripts förhindra attacken.

”Givna keylogger funktionaliteten i denna malware, bör du överväga alla WordPress lösenord äventyras så nästa obligatoriska steg för rensning förändras den lösenord (faktiskt rekommenderas efter någon webbplats hacka)”, Sucuri laget staterna.

Med tanke på att cloudflare.solutions sprutar coinhive kryptovaluta miner skript till platser, administratörerna uppmanas att kontrollera deras webbplatser för vissa andra infektioner.


Leave a Reply

Your email address will not be published. Required fields are marked *