نزدیک به ۲۰۰۰ سایت وردپرسی به کیلاگر آلوده شدهاند!
بیش از ۲۰۰۰ وب سایت وردپرس یک بار دیگر با یک بد افزار رمزکاوی آلوده شدهاند که نه تنها منابع رایانههای بازدیدکننده را برای کاوش ارزهای دیجیتال به سرقت میبرد بلکه کلیدهای وارد شده هر کاربر را نیز ثبت می کند.
محققان امنیتی در Sucuri یک برنامه مخرب را کشف کردند که وبسایتهای وردپرس را با یک اسکریپت مخرب آلوده میکند و حاوی کاوشگری برای یافتن cryptocurrency در مرورگر از طریق CoinHive و keylogger است.
Coinhive یک سرویس محبوب مبتنی بر مرورگر است که به صاحبان وبسایتها پیشنهاد میدهد یک کد جاوااسکریپت را جهت کاوش Monroe cryptocurrency با استفاده از قدرت پردازندهی بازدیدکنندگان وب، تعبیه کنند.
محققان Sucuri معتقدند که بازیگران پشت پرده این کمپین جدید همان کسانی هستند که بیش از ۵۴۰۰ وبسایت وردپرس را در ماه گذشته آلوده کردهاند؛ زیرا که در هر دوی این برنامهها از نرمافزارهای مخرب keylogger / cryptocurrency به نام cloudflare[.]solutions استفاده شده است.
همانگونه که در آپریل سال گذشته معلوم شد، این بدافزار کاوش cryptocurrency، اصلاً رابطهای با شرکت مدیریت شبکه و امنیت سایبری Cloudflare ندارد.
از آنجا که این نرمافزار ابتدا از دامنه اینترنتی cloudflare[.]solutions برای گسترش بدافزار استفاده کرد، بعد ها به این اسم نام گذاری شد.
این بدافزار در به روزرسانی ماه نوامبر حاوی یک keylogger شد که همانند keyloggerهای قبلی رفتار میکند و میتواند اطلاعات صفحه لاگین ادمین و نیز صفحه عمومی سایت را سرقت کند.
اگر سایت وردپرس آلوده شده یک پلتفرم تجارت الکترونیک باشد، هکرها می توانند اطلاعات بسیار ارزشمندتری از جمله داده کارتهای بانکی را سرقت کنند. اگر هکرها موفق به سرقت اطلاعات مدیر سایت شوند، میتوانند بدون هیچ ترفند خاصی به سایت وارد شوند.
دامنه cloudflare[.]solutions در ماه گذشته حذف شد، اما مجرمان پشت پرده این کمپین دامنههای جدیدی را ثبت کردند تا اسکریپتهای مخرب خود را که در نهایت به سایتهای WordPress برمی گردد، میزبانی کنند.
دامنههای جدید وب ثبت شده توسط هکرها عبارتند از cdjs[.]online (ثبت شده در ۸ دسامبر)، cdns [.] ws (در تاریخ ۹ دسامبر) و msdns[.]online (در تاریخ ۱۶ دسامبر).
همانند بدافزار قبلی cloudflare[.]solutions ، اسکریپت cdjs[.]online میتواند به داخل پایگاه داده وردپرس یا فایل functions.php تزریق شود.
مشخص شده که اسکریپتهای cdns[.]ws و msdns[.]online در داخل فایل functions.php تزریق شده است.
تعداد سایتهای آلوده برای دامنه cdns [.] ws شامل حدود ۱۲۹ وبسایت و ۱۰۳ وبسایت برای cdjs[.]online، با توجه به موتور جستجوی سورس کد PublicWWW است، هر چند که بیش از هزار سایت توسط دامنه msdns[.]online آلوده شده است.
محققان اظهار داشتند که این احتمال وجود دارد که اکثر وبسایت ها هنوز دستهبندی نشده باشند.
محققان Sucuri میگویند : "در حالی که به نظر میرسد این حملات جدید به بزرگی حمله Cloudflare[.]solutions اصلی نیست، اما بازنگریها نشان میدهد که سایتهای زیادی وجود دارند که نتوانستهاند تا پس از آلودگی اولیه به درستی از خود محافظت کنند. این وبسایتها آلودگی اصلی را متوجه نشدهاند."
اگر وبسایت شما با این آلودگی مواجه شده است، باید کد مخرب را از فایل functions.php و جدول scan wp_posts حذف نمایید.
به کاربران توصیه می شود که تمام رمزهای وردپرس را تغییر دهند و تمام نرمافزارهای سرور، از جمله تمها و پلاگینهای شخص ثالث را به روز کنند.
منبع: https://thehackernews.com/2018/01/wordpress-keylogger.html