Lebih dari 2.000 situs web WordPress terinfeksi dengan keylogger

Tangkapan layar yang menunjukkan keylogger mengekstraksi nama pengguna dan kata sandi. Saat ini menginfeksi lebih dari 2.000 situs web WordPress.Memperbesar / Screenshot yang menunjukkan keylogger mengekstraksi nama pengguna dan kata sandi. Saat ini menginfeksi lebih dari 2.000 WordPress situs web.Sucuri

Lebih dari 2.000 situs web yang menjalankan WordPress open source sistem manajemen konten terinfeksi malware, para peneliti diperingatkan akhir pekan lalu. Malware dalam pertanyaan mencatat kata sandi dan hanya tentang apa pun jenis administrator atau pengunjung.

Keylogger adalah bagian dari paket jahat yang juga menginstal penambang cryptocurrency dalam peramban yang diam-diam dijalankan komputer orang yang mengunjungi situs yang terinfeksi. Data disediakan di sini, di sini, dan di sini oleh layanan pencarian situs web PublicWWW menunjukkan bahwa, pada Senin sore, paket itu berjalan pada 2.092 situs.

Firma keamanan situs web Sucuri mengatakan ini adalah kejahatan yang sama kode itu ditemukan berjalan di hampir 5.500 situs WordPress pada bulan Desember. Infeksi tersebut dibersihkan setelah cloudflare [.] Solusi — itu situs yang digunakan untuk meng-host skrip berbahaya — dihapus. Yang baru infeksi dihosting di tiga situs baru, msdns [.] online, cdns [.] ws, dan cdjs [.] online. Tidak ada situs yang meng-hosting kode memiliki hubungan apa pun dengan Cloudflare atau perusahaan lain yang sah.

“Sayangnya untuk pengguna yang tidak curiga dan pemilik yang terinfeksi situs web, keylogger berperilaku sama seperti sebelumnya kampanye, “tulis peneliti Sucuri Denis Sinegubko dalam sebuah posting blog. “Skrip mengirim data yang dimasukkan pada setiap formulir situs web (termasuk formulir masuk) ke peretas melalui protokol WebSocket. ”

Serangan itu bekerja dengan menyuntikkan berbagai skrip ke dalamnya Situs web WordPress. Script disuntikkan dalam sebulan terakhir termasuk:

  • hxxps: // cdjs [.] online / lib.js
  • hxxps: // cdjs [.] online / lib.js? ver = …
  • hxxps: // cdns [.] ws / lib / googleanalytics.js? ver = …
  • hxxps: // msdns [.] online / lib / mnngldr.js? ver = …
  • hxxps: // msdns [.] online / lib / klldr.js

    Penyerang menyuntikkan skrip online cdjs [.] Ke salah satu situs Database WordPress (tabel wp_posts) atau ke dalam temanya file functions.php, seperti yang terjadi pada serangan Desember itu menggunakan situs solusi cloudflare [.]. Sinegubko juga menemukan cdns [.] ws dan msdns [.] skrip online disuntikkan ke dalam tema file functions.php. Selain itu, pencet tombol yang diketikkan ke input apa pun bidang, skrip memuat kode lain yang menyebabkan pengunjung situs berjalan JavaScript dari Coinhive yang menggunakan komputer pengunjung untuk menambang cryptocurrency Monero tanpa peringatan.

    Posting Sucuri tidak secara eksplisit mengatakan bagaimana situs mendapatkan terinfeksi. Kemungkinan besar, para penyerang mengeksploitasi keamanan kelemahan yang dihasilkan dari penggunaan perangkat lunak yang kedaluwarsa.

    “Sementara serangan baru ini tampaknya belum sebesar kampanye solusi Cloudflare [.] asli, tingkat infeksi ulang menunjukkan bahwa masih banyak situs yang gagal berfungsi dengan benar melindungi diri mereka sendiri setelah infeksi awal, “tulis Sinegubko. “Mungkin saja beberapa situs web ini bahkan tidak memperhatikan infeksi asli. ”

    Orang yang ingin membersihkan situs yang terinfeksi harus mengikuti ini Langkah. Sangat penting bahwa operator situs mengubah semua situs kata sandi karena skrip memberikan penyerang akses ke semua yang lama yang

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: