SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

На тысячах сайтов WordPress найден кейлоггер

08 декабря 2017 г., пятница, 08:54

Это уже третья целевая нагрузка в рамках вредоносной кампании, впервые обнаруженной в апреле.

Исследователи из Sucuri обнаружили, что, поэкспериментировав с криптомайнером,  инициаторы массового заражения WordPress-сайтов сменили целевую нагрузку и ныне устанавливают кейлоггер.

Текущую киберкампанию эксперты наблюдают с апреля. На тот момент вредоносный JavaScript, внедряемый в файл functions.php тем WordPress, использовался для показа рекламы. Для этого из домена cloudflare[.]solutions (не имеющего ничего общего с CDN-сетью Cloudflare) на сайт закачивался скрипт cors.js, который и выполнял загрузку сторонних изображений.

К ноябрю эта же группировка начала устанавливать на взломанные сайты майнер Coinhive, замаскированный под jQuery и Google Analytics. Новый всплеск активности в рамках кампании, использующей cloudflare[.]solutions, принес иной компонент — кейлоггер.

Согласно описанию Sucuri, первичный JavaScript, внедряемый злоумышленниками на сайты, остался неизменным, а загружаемый cors.js стал менее подозрительным. Расшифровка кода выявила два URL-адреса с шестнадцатеричными параметрами в домене cdnjs.cloudflare.com — на сей раз легитимном. Однако проверка показала, что таких URL не существует, а значит, домен CloudFlare — лишь маскировка.

Как оказалось, полезная нагрузка скрывалась за длинными строками шестнадцатеричных чисел. Вредоносный скрипт их расшифровывает и внедряет в веб-страницы результат —кейлоггер. Этот скрипт добавляет обработчик в каждое поле ввода на сайте, чтобы отослать его значение автору атаки, когда пользователь перейдет к следующему полю.

Примечательно, что кейлоггер загружается как на стороне пользовательского интерфейса, так и на стороне сервера, то есть может также украсть учетные данные, используемые для авторизации в панели управления. Присутствие кейлоггера в клиентской части обычно грозит только кражей пользовательских данных из полей комментариев. Однако если WordPress-сайт оказывает какие-либо коммерческие услуги, операторы кейлоггера могут завладеть платежными данными.

Согласно PublicWWW, на настоящий момент вредоносный JavaScript, распространяемый в рамках данной кампании, активно работает на 5496 WordPress-сайтах.

Если на сайте обнаружена загрузка скриптов из домена cloudflare[.]solutions, эксперты советуют поступить следующим образом. Поскольку вредоносный код содержится в functions.php, нужно удалить функцию add_js_scripts и все строки add_action с аргументом add_js_scripts. Зловред, используемый в текущей кампании, обладает функционалом кейлоггера, поэтому все пароли следует сменить, так как они могут оказаться скомпрометированными. И не забыть проверить сайт на наличие других инфекций.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.078
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.