Keylogger nhiễm ngàn trang web WordPress

Computer Security News

Chuyên gia bảo mật Sucuri báo cáo rằng hơn 5.500 WordPress các trang web đã bị nhiễm một mảnh phần mềm độc hại có khả năng đăng nhập người dùng nhập vào.

Nhiễm trùng này là một phần của chiến dịch phân tích của các chuyên gia an ninh trong tháng tư. Theo họ, các trang web bị nhiễm một mảnh phần mềm độc hại có tên cloudflare.solutions. Tại thời điểm đó, phần mềm độc hại đóng gói cryptominers, và bây giờ nó thêm keyloggers để trộn.

Hiện nay, phần mềm độc hại cloudflare.solutions là hiện nay trên các trang web 5,496, và nó trông giống như một số tiếp tục tăng.

Được tiêm, kịch bản [.] giải pháp của Cloudflare được thêm vào một hàng đợi đến WordPress các trang web sử dụng các chủ đề function.php, và một tên miền CloudFlare giả được sử dụng trong các URL. Sau đó, một trong các URL tải một bản sao của thư viện ReconnectingWebSocket hợp pháp. Sau đó, trang chính của tên miền tuyên bố rằng “các máy chủ là một phần của một thử nghiệm khoa học máy tính học thuật toán dự án.”

Để theo dõi các trang web bị nhiễm bệnh, một tập lệnh cors.js được sử dụng có tải Yandex.Metrika (của Yandex để thay thế cho Google Analytics).

Ngoài ra, các chuyên gia tìm thấy hai cdnjs.cloudflare.com URL với tham số hệ thập lục phân lâu, với cả hai người trong số họ thuộc CloudFlare. Tuy nhiên, đây không phải là không hợp pháp và một trong số họ thậm chí không tồn tại – đó là một liên kết đến dữ liệu chuyển giao ở dạng thập lục phân số sau dấu chấm hỏi trong các URL.

Mục đích của các kịch bản là để giải mã những dữ liệu này và bơm kết quả vào các trang web, mà kết quả trong độc hại keylogger.

“Kịch bản này cho biết thêm một handler cho mọi lĩnh vực đầu vào trên các trang web để gửi các giá trị cho kẻ tấn công (wss: //cloudflare[.]solutions:8085/) khi người dùng rời khỏi lĩnh vực này,” các nhà nghiên cứu Sucuri nói.

Trong trường hợp trang web WordPress có một số chức năng thương mại điện tử, keylogger cho phép những kẻ tấn công ăn cắp các chi tiết thanh toán nhúng một hình thức thanh toán, cũng như các thông tin đăng nhập. Bên cạnh đó, keylogger [.] giải pháp của cloudflare có thể được tiêm vào trang đăng nhập như là tốt.

Do thực tế là mã độc hại là ẩn trong các tập tin function.php của chủ đề WordPress, loại bỏ chức năng add_js_scripts và add_action mệnh đề mà đề cập đến add_js_scripts nên ngăn chặn các cuộc tấn công.

“Cho các chức năng keylogger phần mềm độc hại này, bạn nên xem xét tất cả các mật khẩu WordPress bị tổn hại vì vậy, bước tiếp theo bắt buộc dọn sạch là thay đổi mật khẩu (trên thực tế nó cao được đề nghị sau khi bất kỳ trang web hack),” đội Sucuri tiểu bang.

Xem xét một thực tế rằng cloudflare.solutions injects coinhive cryptocurrency miner script vào các trang web, các quản trị viên mạnh mẽ nên kiểm tra trang web của họ cho một số bệnh nhiễm trùng khác.


Leave a Reply

Your email address will not be published. Required fields are marked *