Agrandir / Une capture d’écran montrant un enregistreur de frappe extrayant des noms d’utilisateur et mots de passe. Il est en train d’infecter plus de 2000 WordPress sites web.Sucuri
Plus de 2 000 sites Web exécutant WordPress open source système de gestion de contenu sont infectés par des logiciels malveillants, les chercheurs prévenu tard la semaine dernière. Le logiciel malveillant en question consigne les mots de passe et à peu près tout ce qui est un administrateur ou un visiteur.
Le keylogger fait partie d’un paquet malveillant qui installe également un mineur de crypto-monnaie dans le navigateur qui est exécuté subrepticement les ordinateurs des personnes visitant les sites infectés. Données fournies ici, ici et ici par le service de recherche de sites Web PublicWWW a montré que, à partir de lundi après-midi, le paquet fonctionnait sur 2.092 des sites.
La société de sécurité de site Web Sucuri a déclaré qu’il s’agissait du même malveillant Le code qu’il a trouvé fonctionnait sur près de 5 500 sites WordPress en décembre. Ces infections ont été nettoyées après les solutions cloudflare [.] site utilisé pour héberger les scripts malveillants – a été supprimé. Le nouveau les infections sont hébergées sur trois nouveaux sites, msdns [.] en ligne, cdns [.] ws et cdjs [.] en ligne. Aucun des sites hébergeant le code a un lien quelconque avec Cloudflare ou toute autre société légitime.
“Malheureusement pour les utilisateurs sans méfiance et les propriétaires des personnes infectées keylogger se comporte de la même manière que dans les précédents campagnes “, a déclaré Denis Sinegubko, chercheur à Sucuri, dans un article de blog. “Le script envoie les données saisies sur chaque formulaire de site Web (y compris le formulaire de connexion) aux hackers via le protocole WebSocket. ”
L’attaque fonctionne en injectant une variété de scripts dans Sites WordPress. Les scripts injectés le mois dernier comprendre:
- hxxps: // cdjs [.] online / lib.js
- hxxps: // cdjs [.] en ligne / lib.js? ver =…
- hxxps: // cdns [.] ws / lib / googleanalytics.js? ver =…
- hxxps: // msdns [.] en ligne / lib / mnngldr.js? ver =…
- hxxps: // msdns [.] en ligne / lib / klldr.js
Les pirates injectent le script en ligne cdjs [.] Dans le site d’un site Base de données WordPress (table wp_posts) ou dans le thème le fichier functions.php, comme ce fut le cas lors de l’attaque de décembre utilisé le site de solutions cloudflare [.]. Sinegubko a également trouvé le cdns [.] ws et msdns [.] scripts en ligne injectés dans le thème fichier functions.php. Outre la saisie des frappes au clavier tapées dans une entrée champ, les scripts chargent un autre code qui force les visiteurs du site à s’exécuter JavaScript de Coinhive qui utilise les ordinateurs des visiteurs pour exploiter le crypto-monnaie Monero sans avertissement.
La publication Sucuri n’indique pas explicitement comment les sites se font infecté. Selon toute vraisemblance, les attaquants exploitent la sécurité faiblesses résultant de l’utilisation de logiciels obsolètes.
“Bien que ces nouvelles attaques ne semblent pas encore être aussi massives que la campagne originale de solutions Cloudflare [.], le taux de réinfection montre qu’il y a encore beaucoup de sites qui ont échoué à correctement se protéger après l’infection initiale “, a écrit Sinegubko. “Il est possible que certains de ces sites Web n’aient même pas remarqué la infection d’origine. ”
Les personnes qui souhaitent nettoyer les sites infectés doivent suivre ces instructions. pas. Il est essentiel que les opérateurs de sites changent tous les sites mots de passe puisque les scripts donnent aux attaquants l’accès à tous les anciens les uns.
