Više od 2000 web stranica WordPress je zaraženo s keyloggerom

Snimak ekrana s prikazom keyloggera koji vadi korisnička imena i lozinke. Trenutno zarazuje više od 2000 web mjesta WordPress.Uvećaj / Snimka zaslona koja prikazuje keylogger koji izdvaja korisnička imena i lozinke. Trenutno zarazuje više od 2000 WordPress-a webstranice. Sucuri

Više od 2.000 web stranica koje pokreću WordPress otvorenog koda sustav za upravljanje sadržajem zaražen je malverom, istraživači upozorio krajem prošlog tjedna. Dotični zlonamjerni softver bilježi lozinke i o bilo čemu drugom što administrator ili posjetitelj vrsta.

Keylogger je dio zlonamjernog paketa koji se također instalira rudar kripto valute u pregledniku koji se skriveno pokreće računala ljudi koji posjećuju zaražena mjesta. Navedeni podaci evo, ovdje i ovdje web stranica za pretragu usluga PublicWWW pokazala da je od ponedjeljka popodne paket bio na prometu od 2.092 sites.

Tvrtka za sigurnost web mjesta Sucuri rekla je da je to isto zlonamjerno kôd koji je pronađen u prosincu na gotovo 5500 web mjesta WordPress. Te infekcije su očišćene nakon oblak-oblaka [.] Rješenja mjesto na kojem se nalaze zlonamerne skripte – skinuto je. Novi infekcije su smještene na tri nove web lokacije, msdns [.] online, cdns [.] ws i cdjs [.] online. Nijedna web lokacija koja posjeduje taj kod ima bilo kakve veze s Cloudflareom ili bilo kojom drugom zakonitom tvrtkom.

“Nažalost za ništa sumnjive korisnike i vlasnike zaraženih web mjesta, keylogger se ponaša na isti način kao u prethodnom kampanje “, napisao je u blogu istraživač Sucurija Denis Sinegubko. “Skripta šalje podatke unesene na svaki obrazac web stranice (uključujući obrazac za prijavu) hakerima putem WebSocket protokola. ”

Napad djeluje ubrizgavanjem različitih skripti u Web stranice za WordPress. Skripte ubrizgane u posljednjih mjesec dana uključuju:

  • hxxps: [.] // cdjs online / lib.js
  • hxxps: [.]? // cdjs online / lib.js ver = …
  • hxxps: [.]? // CDN ws / lib / googleanalytics.js ver = …
  • hxxps: [.]? // msdns online / lib / mnngldr.js ver = …
  • hxxps: // msdns online / lib / klldr.js [.]

    Napadači ubrizgavaju internetsku skriptu cdjs [.] U bilo koju web lokaciju WordPress baza podataka (tablica wp_posts) ili u temu files.php datoteka, kao što je bio slučaj u napadu u prosincu koji koristili su web mjesto rješenja cloudflare [.]. Sinegubko je također pronašao cdns [.] ws i msdns [.] internetske skripte ubrizgane u teme teme function.php datoteka. Osim zapisivanja tipki s tipkama upisanim u bilo koji ulaz polja, skripte učitavaju drugi kôd koji uzrokuje pokretanje posjetitelja web mjesta JavaScript iz Coinhive-a koji koristi računala posjetitelja za miniranje kripto valuta Monero bez upozorenja.

    Post u Sucuriju izričito ne govori kako se web stranice razvijaju zaraženo. Prema svemu sudeći, napadači iskorištavaju sigurnost slabosti koje proizlaze iz upotrebe zastarjelog softvera.

    “Iako se čini da ti novi napadi nisu toliko masivni izvorna kampanja rješenja Cloudflare [.], stopa ponovne infekcije pokazuje da još uvijek postoje mnoge web lokacije koje nisu uspjele pravilno zaštiti se nakon izvorne infekcije “, napisao je Sinegubko. “Moguće je da neke od tih web lokacija nisu čak ni primijetile ovaj izvorna infekcija. ”

    Ljudi koji žele očistiti zaražena mjesta trebali bi ih slijediti koraci. Važno je da operatori stranica promijene sve stranice lozinke jer skripte daju napadačima pristup svim starim one.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: