Un program care fura datele de identificare a fost descoperit in peste 2.000 de site-uri WordPress

Keylogger Campaign Hits a fost descoperit in peste 2.000 de site-uri WordPress

Cercetătorii în domeniul securității au descoperit peste 2.000 de site-uri WordPress – probabil mai mult – infectate cu un keylogger care este încărcat pe pagina de autentificare a backend-ului WordPress și un script de criptojacking (miner de criptografiere în browser) pe interfața lor.

Cercetătorii au legat aceste site-uri infectate recent descoperite într-o operațiune similară care a avut loc la începutul lunii decembrie 2017.

Atacul este destul de simplu. Miscreants găsește site-uri WordPress nesigure – care rulează versiuni vechi WordPress mai vechi sau teme și pluginuri mai vechi – și folosesc exploatări pentru acele site-uri pentru a injecta cod malitios în codul sursă al CMS.

Codul rău intenționat include două părți. Pentru pagina de login admin, codul încarcă un keylogger găzduit pe un domeniu terță parte. Pentru interfața site-ului, infractorii încarcă Minerul în Coinhive în browser și Monero mea folosind procesoarele persoanelor care vizitează site-ul.

Crooks migrează în domenii noi

Pentru campania de la sfârșitul anului 2017, infractorii și-au încărcat keylogger-ul din domeniul “cloudflare.solutions”. Aceste atacuri au afectat aproape 5.500 de site-uri WordPress, dar au fost oprite în data de 8 decembrie, când registratorul a preluat domeniul miscreants.

Potrivit unui nou raport publicat ieri de Sucuri, compania care urmărește această campanie din aprilie 2017, criminali acum încarcă keyloggerul din trei domenii noi: cdjs.online, cdns.ws și msdns.online.

Pe baza datelor obținute prin PublicWWW, există peste 2.000 de site-uri care încarcă scripturi din aceste trei domenii [ 1 , 2 , 3 ].

Sucuri se teme că nu toate zonele afectate sunt indexate în PublicWWW și că numărul victimelor ar putea fi chiar mai mare.

Proprietarii site-urilor WordPress sunt sfătuiți să revizuiască site-urile lor, să actualizeze orice are nevoie de actualizare și să revadă dacă sunt încărcate scripturi suspecte pe pagina lor de conectare.

Sursa: https://www.bleepingcomputer.com