آلودگی ۲۰۰۰ وب‌سایت ورد پرس به بدافزار کی لاگر

به‌تازگی محققان امنیتی، بیش از دو هزار وب‌سایت ورد پرس شناسایی کرده‌اند که آلوده به‌نوعی بدافزار کی لاگر هستند. این بدافزار نه‌تنها کلیه اطلاعات وارد شده از طریق صفحه کلید را ثبت می‌کند، بلکه از منابع سیستم بازدیدکنندگان وب‌سایت نیز برای استخراج ارز مجازی سوءاستفاده می‌کند.

به گزارش پایگاه خبری بانکداری الکترونیک، محققان Sucuri با شناسایی بدافزار cloudflare[.]solutions اعلام کردند، این همان بدافزاری است که ماه گذشته در کمپین دیگری بیش از ۵۴۰۰ وب سایت ورد پرس را آلوده کرده است.

گفتنی است بدافزار cloudflare[.]solutions در آوریل سال گذشته به عنوان بدافزار استخراج ارز مجازی شناسایی شده و هیچ گونه ارتباطی با شرکت امنیتی Cloudflare ندارد. در واقع دلیل انتخاب نام این بدافزار استفاده از دامنه cloudflare[.]solutions برای توزیع آن در سطح گسترده بوده است.

به گفته محققان، بدافزار مذکور با استفاده از سرویس مشهور مبتنی بر مرورگر Coinhive در هر دو کمپین خود از منابع سیستم‌های قربانی برای استخراج ارز مجازی سو استفاده کرده است. به علاوه در به‌روزرسانی ماه نوامبر این بدافزار یک کی لاگر به آن اضافه شده است که دقیقاً مطابق با روش کمپین قبلی عمل کرده و اطلاعات صفحه ورودی ادمین و صفحه عمومی وب سایت را به سرقت می‌برد. در واقع اگر سایت ورد پرس آلوده شده یک پلت فرم تجاری باشد، هکرها می‌توانند اطلاعات ارزشمندی مانند داده‌های کارت‌های اعتباری را نیز سرقت کنند.

مجرمان سایبری در این کمپین دامنه‌های جدید دیگری از جمله cdjs[.]online و  cdns[.]ws را برای اجرای اقدامات مخرب خود ثبت کرده‌اند.

با وجود اینکه هنوز این بدافزار در سطح گسترده توزیع نشده، به تمام ادمین هایی وب سایت‌های مشکوک به این بدافزار توصیه می‌شود در صورت آلودگی کد مخرب را از function.php حذف و جدول wp_posts را اسکن کنند. همچنین در صورت نصب هرگونه پلاگین و تم از منابع ثالث تمام برنامه‌های خود را به‌روز رسانی کنند.