Yli 2000 WordPress-verkkosivustoa on saanut tartunnan näppäimistölokerilla

Kuvakaappaus, joka näyttää avainsananhakijan, joka purkaa käyttäjänimet ja salasanat. Se tartuttaa tällä hetkellä yli 2000 WordPress-verkkosivustoa.Suurenna / kuvakaappaus, joka näyttää näppäimistön poimivasta käyttäjänimistä ja salasanat. Se tartuttaa tällä hetkellä yli 2000 WordPressiä websivustoja. Sucuri

Yli 2000 verkkosivustoa, joissa on avoimen lähdekoodin WordPress sisällönhallintajärjestelmät ovat saaneet haittaohjelmia, tutkijat varoitettiin viime viikon lopulla. Kyseinen haittaohjelma kirjaa salasanat ja melkein kaikesta muusta järjestelmänvalvojan tai vierailijan tyypistä.

Keylogger on osa haitallista pakettia, joka myös asennetaan selaimen sisäinen salaustekijä, jota käytetään salaa tartunnan saaneita sivustoja käyvien ihmisten tietokoneet. Tiedot toimitettu täällä, täällä ja täällä verkkosivustohakupalvelun PublicWWW osoitti että maanantaina iltapäivällä paketti oli käynnissä 2 092: lla sites.

Verkkosivustoturvayritys Sucuri sanoi, että tämä on sama haittaohjelma koodin, jonka se havaitsi toimivan melkein 5500 WordPress-sivustossa joulukuussa. Ne infektiot puhdistettiin pilvipallo [.] -Ratkaisujen jälkeen sivusto, jota käytetään haitallisten komentosarjojen isäntässä – poistettiin. Uusi tartuntoja ylläpidetään kolmella uudella sivustolla, msdns [.] online, cdns [.] ws ja cdjs [.] verkossa. Mikään sivusto, joka ylläpitää koodia on mitään yhteyttä Cloudflareen tai muuhun lailliseen yritykseen.

“Valitettavasti tartunnan saaneille käyttäjille ja omistajille verkkosivustoilla, näppäimistöloukkaaja toimii samalla tavalla kuin aikaisemmin “, Sucurin tutkija Denis Sinegubko kirjoitti blogiin. “Skripti lähettää kaikkiin verkkosivustoihin syötetyt tiedot (mukaan lukien kirjautumislomake) hakkereihin WebSocket-protokollan kautta “.

Hyökkäys toimii injektoimalla erilaisia ​​kirjoituksia WordPress-verkkosivustot. Kuluneen kuukauden aikana injektoidut skriptit sisältää:

  • hxxps: // cdjs [.] Online / lib.js
  • hxxps: // cdjs [.] Online / lib.js? ver = …
  • hxxps: // CDN [.] WS / lib / googleanalytics.js? ver = …
  • hxxps: // msdns [.] Online / lib / mnngldr.js? ver = …
  • hxxps: // msdns [.] Online / lib / klldr.js

    Hyökkääjät injektoivat cdjs [.] -Skriptin joko sivuston sivustoon WordPress-tietokanta (wp_posts -taulukko) tai teemaan function.php-tiedosto, kuten tapahtui joulukuun hyökkäyksessä käytti pilviheijastus [.] -ratkaisusivustoa. Sinegubko löysi myös cdns [.] ws ja msdns [.] online-skriptit, jotka on lisätty teemaan function.php-tiedosto. Kirjaamisen lisäksi näppäilynäppäimet kirjoitettiin mihin tahansa tuloon -kenttään skriptit lataavat muun koodin, joka aiheuttaa sivuston kävijöiden suorittamisen Coinhiven JavaScript, joka käyttää vierailijoiden tietokoneita kaivokseen cryptocurrency Monero ilman varoitusta.

    Sucuri-postitse ei sanota selkeästi, kuinka sivustoja saadaan tartunnan. Hyvin todennäköisesti hyökkääjät hyödyntävät turvallisuutta vanhentuneiden ohjelmistojen käytöstä johtuvat heikkoudet.

    “Vaikka nämä uudet hyökkäykset eivät vielä näytä olevan niin massiivisia kuin alkuperäinen Cloudflare [.] -ratkaisukampanja, uudelleeninfektioprosentti osoittaa, että edelleen on monia sivustoja, jotka eivät ole onnistuneet kunnolla suojelemaan itseään alkuperäisen tartunnan jälkeen “, Sinegubko kirjoitti. “On mahdollista, että jotkut näistä verkkosivustoista eivät edes huomanneet alkuperäinen tartunta. ”

    Ihmisten, jotka haluavat puhdistaa tartunnan saaneet sivustot, tulisi noudattaa näitä askeleet. On kriittistä, että sivuston operaattorit muuttavat kaikkia sivustoja salasanat, koska komentosarjat antavat hyökkääjille pääsyn kaikkiin vanhoihin yhdet.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: