Un keylogger a infectat mai bine de 2.000 de site-uri WordPress.

Peste 2.000 de site-uri care rulează sistemul open-source WordPress de management al conținutului sunt infectate cu programe malware, au avertizat cercetătorii la sfârșitul săptămânii trecute. Malware-ul în cauză înregistrează parole și aproape orice altceva este tastat de un administrator sau vizitator.
Keylogger-ul face parte dintr-un pachet malware care instalează, de asemenea, un soft de minat cryptomonede, care se execută pe calculatoarele persoanelor care vizitează site-urile infectate. Datele furnizate aici, aici, și aici prin serviciul de căutare publicitară PublicWWW au arătat că, începând de luni după-amiază, pachetul a fost rulat pe 2092 de site-uri.
Site-ul de securitate Sucuri a spus că acesta este același cod malware pe care l-au găsit pe aproape 5.500 de site-uri WordPress din decembrie. Aceste infecții au fost curățate după ce site-ul folosit pentru a găzdui scripturile malware a fost eliminat. Noile infecții sunt găzduite pe trei site-uri noi, pe care nu le vom menționa aici. Nici unul dintre site-urile care găzduiesc codul nu are nicio legătură cu Cloudflare sau cu orice altă companie legitimă.
Denis Sinegubko, cercetător la Sucuri, a declarat într-o postare pe blog:
Din păcate, pentru utilizatorii și proprietarii site-urilor infectate, keyloggerul se comportă la fel ca în campaniile anterioare. Scriptul trimite datele introduse pe fiecare formular de site (inclusiv formularul de autentificare) către hackeri prin protocolul WebSocket.
Atacul funcționează prin injectarea unei serii de scripturi pe site-urile WordPress. În afară de memorarea textului scris în orice câmp de introducere, script-urile încarcă un alt cod care determină vizitatorii site-ului să ruleze JavaScript de la Coinhive, care utilizează computerele vizitatorilor pentru a-și mina cryptomoneda Monero fără a avertiza utilizatorul. Postarea de pe site-ul Sucuri nu menționează în mod explicit modul în care sunt infectate site-urile. În mod evident, atacatorii exploatează deficiențele de securitate care rezultă din utilizarea software-ului învechit.
Deși aceste noi atacuri nu par a fi la fel de masive precum campania inițială, rata de reinfectare arată că există încă multe site-uri care nu au reușit să se protejeze în mod adecvat după infecția inițială. Este posibil ca unele dintre aceste site-uri web să nu fi observat nici măcar atacul inițial.
Persoanele care doresc să curețe site-urile infectate trebuie să urmeze acești pași. Este esențial ca administratorii site-urilor să schimbe toate parolele, deoarece scripturile le oferă atacatorilor acces la toate cele vechi.