آلودگی ۲۰۰۰ وبسایت ورد پرس به بدافزار کی لاگر
بیش از دو هزار وبسایت ورد پرس آلوده بهنوعی بدافزار کی لاگر هستند.
بهتازگی محققان امنیتی، بیش از دو هزار وبسایت ورد پرس شناسایی کردهاند که آلوده بهنوعی بدافزار کی لاگر هستند. این بدافزار نهتنها کلیه اطلاعات وارد شده از طریق صفحه کلید را ثبت میکند، بلکه از منابع سیستم بازدیدکنندگان وبسایت نیز برای استخراج ارز مجازی سوءاستفاده میکند.
به گزارش پایگاه خبری بانکداری الکترونیک، محققان Sucuri با شناسایی بدافزار cloudflare[.]solutions اعلام کردند، این همان بدافزاری است که ماه گذشته در کمپین دیگری بیش از ۵۴۰۰ وب سایت ورد پرس را آلوده کرده است.
گفتنی است بدافزار cloudflare[.]solutions در آوریل سال گذشته به عنوان بدافزار استخراج ارز مجازی شناسایی شده و هیچ گونه ارتباطی با شرکت امنیتی Cloudflare ندارد. در واقع دلیل انتخاب نام این بدافزار استفاده از دامنه cloudflare[.]solutions برای توزیع آن در سطح گسترده بوده است.
به گفته محققان، بدافزار مذکور با استفاده از سرویس مشهور مبتنی بر مرورگر Coinhive در هر دو کمپین خود از منابع سیستمهای قربانی برای استخراج ارز مجازی سو استفاده کرده است. به علاوه در بهروزرسانی ماه نوامبر این بدافزار یک کی لاگر به آن اضافه شده است که دقیقاً مطابق با روش کمپین قبلی عمل کرده و اطلاعات صفحه ورودی ادمین و صفحه عمومی وب سایت را به سرقت میبرد. در واقع اگر سایت ورد پرس آلوده شده یک پلت فرم تجاری باشد، هکرها میتوانند اطلاعات ارزشمندی مانند دادههای کارتهای اعتباری را نیز سرقت کنند.
مجرمان سایبری در این کمپین دامنههای جدید دیگری از جمله cdjs[.]online و cdns[.]ws را برای اجرای اقدامات مخرب خود ثبت کردهاند.
با وجود اینکه هنوز این بدافزار در سطح گسترده توزیع نشده، به تمام ادمین هایی وب سایتهای مشکوک به این بدافزار توصیه میشود در صورت آلودگی کد مخرب را از function.php حذف و جدول wp_posts را اسکن کنند. همچنین در صورت نصب هرگونه پلاگین و تم از منابع ثالث تمام برنامههای خود را بهروز رسانی کنند.