نزدیک به ۲۰۰۰ سایت وردپرسی به کی‌لاگر آلوده شده‌اند!

بیش از ۲۰۰۰ وب سایت وردپرس یک بار دیگر با یک بد افزار رمزکاوی آلوده شده‌اند که نه تنها منابع رایانه‌های بازدیدکننده را برای کاوش ارزهای دیجیتال به سرقت می‌برد بلکه کلیدهای وارد شده هر کاربر را نیز ثبت می کند.

محققان امنیتی در Sucuri یک برنامه مخرب را کشف کردند که وب‌سایت‌های وردپرس را با یک اسکریپت مخرب آلوده می‌کند و حاوی کاوشگری برای یافتن  cryptocurrency در مرورگر از طریق CoinHive و keylogger است.

Coinhive یک سرویس محبوب مبتنی بر مرورگر است که به صاحبان وب‌سایت‌ها پیشنهاد می‌دهد یک کد جاوااسکریپت را جهت کاوش Monroe cryptocurrency با استفاده از قدرت پردازنده‌ی بازدیدکنندگان وب، تعبیه کنند.

محققان Sucuri معتقدند که بازیگران پشت پرده این کمپین جدید همان کسانی هستند که بیش از ۵۴۰۰ وب‌سایت وردپرس را در ماه گذشته آلوده کرده‌اند؛ زیرا که در هر دوی این برنامه‌ها از نرم‌افزارهای مخرب keylogger ‎/ cryptocurrency به نام cloudflare[.‎]‎solutions استفاده شده است.

همانگونه که در آپریل سال گذشته معلوم شد، این بدافزار کاوش cryptocurrency، اصلاً رابطه‌ای با شرکت مدیریت شبکه و امنیت سایبری Cloudflare ندارد.

از آنجا که این نرم‌افزار ابتدا از دامنه اینترنتی cloudflare[.‎]‎solutions برای گسترش بدافزار استفاده کرد، بعد ها به این اسم نام گذاری شد.

این بدافزار در به روزرسانی ماه نوامبر حاوی یک keylogger شد که همانند keyloggerهای قبلی رفتار می‌کند و می‌تواند اطلاعات صفحه لاگین ادمین و نیز صفحه عمومی سایت را سرقت کند.

اگر سایت وردپرس آلوده شده یک پلت‌فرم تجارت الکترونیک باشد، هکرها می توانند اطلاعات بسیار ارزشمندتری از جمله داده کارت‌های بانکی را سرقت کنند. اگر هکرها موفق به سرقت اطلاعات مدیر سایت شوند، می‌توانند بدون هیچ ترفند خاصی به سایت وارد شوند.

دامنه cloudflare[.‎]‎solutions در ماه گذشته حذف شد، اما مجرمان پشت پرده این کمپین دامنه‌های جدیدی را  ثبت کردند تا اسکریپت‌های مخرب خود را که در نهایت به سایت‌های WordPress برمی گردد، میزبانی کنند.

دامنه‌های جدید وب ثبت شده توسط هکرها عبارتند از cdjs[.‎]‎online (ثبت شده در ۸ دسامبر)، cdns [.‎]‎ ws (در تاریخ ۹ دسامبر) و msdns[.‎]‎online (در تاریخ ۱۶ دسامبر).

همانند بدافزار قبلی cloudflare[.‎]‎solutions ، اسکریپت cdjs[.‎]‎online می‌تواند به داخل پایگاه داده وردپرس یا فایل functions.php تزریق شود.

مشخص شده که اسکریپت‌های cdns[.‎]‎ws  و  msdns[.‎]‎online در داخل فایل functions.php تزریق شده است.

تعداد سایت‌های آلوده برای دامنه cdns [.‎]‎ ws شامل حدود ۱۲۹ وب‌سایت و ۱۰۳ وب‌سایت برای cdjs[.‎]‎online، با توجه به موتور جستجوی سورس کد PublicWWW است، هر چند که بیش از هزار سایت توسط دامنه msdns[.‎]‎online آلوده شده است.

محققان اظهار داشتند که این احتمال وجود دارد که اکثر وب‌‍سایت ها هنوز دسته‌بندی نشده باشند.

محققان Sucuri می‌گویند : "در حالی که به نظر می‌رسد این حملات جدید به بزرگی حمله Cloudflare[.‎]‎solutions اصلی نیست، اما بازنگری‌ها نشان می‌دهد که سایت‌های زیادی وجود دارند که نتوانسته‌اند تا پس از آلودگی اولیه به درستی از خود محافظت کنند. این وب‌سایت‌ها آلودگی اصلی را متوجه  نشده‌اند."

اگر وب‌سایت شما با این آلودگی مواجه شده است، باید کد مخرب را از فایل functions.php  و جدول scan wp_posts حذف نمایید.

به کاربران توصیه می شود که تمام رمزهای وردپرس را تغییر دهند و تمام نرم‌افزارهای سرور، از جمله تم‌ها و پلاگین‌های شخص ثالث را به روز کنند.

منبع: https://thehackernews.com/2018/01/wordpress-keylogger.html