Mehr als 2.000 WordPress-Websites sind infiziert mit einem Keylogger

Ein Screenshot zeigt einen Keylogger, der Benutzernamen und Passwörter extrahiert. Derzeit infiziert er mehr als 2.000 WordPress-WebWebsites. Vergrößern / Ein Screenshot zeigt einen Keylogger, der Benutzernamen extrahiert und Passwörter. Es infiziert derzeit mehr als 2.000 WordPress Webseiten.Sucuri

Über 2.000 Websites, auf denen Open Source WordPress ausgeführt wird Content-Management-System sind mit Malware infiziert, Forscher Ende letzter Woche gewarnt. Die betreffende Malware protokolliert Passwörter und fast alles andere, was ein Administrator oder Besucher schreibt.

Der Keylogger ist Teil eines Schadpakets, das ebenfalls installiert wird Ein Cryptocurrency Miner im Browser, der heimlich ausgeführt wird die Computer von Personen, die die infizierten Websites besuchen. Daten zur Verfügung gestellt hier, hier und hier von Website-Suchdienst PublicWWW gezeigt dass das Paket ab Montagnachmittag auf 2.092 lief sites.

Die Website-Sicherheitsfirma Sucuri sagte, dies sei das gleiche Schadprogramm Code lief im Dezember auf fast 5.500 WordPress-Sites. Diese Infektionen wurden nach Cloudflare [.] -Lösungen beseitigt – der Die Site, die zum Hosten der schädlichen Skripts verwendet wurde, wurde entfernt. Das neue Infektionen werden auf drei neuen Websites gehostet, msdns [.] online, cdns [.] ws und cdjs [.] online. Keine der Websites, auf denen der Code gehostet wird in irgendeiner Beziehung zu Cloudflare oder einem anderen legitimen Unternehmen.

“Leider für ahnungslose Benutzer und Besitzer der infizierten Websites verhält sich der Keylogger wie in den vorherigen Kampagnen “, schrieb der Sucuri-Forscher Denis Sinegubko in einem Blogbeitrag. “Das Skript sendet Daten, die auf jedem Website – Formular eingegeben wurden (einschließlich der Anmeldeformular) an die Hacker über das WebSocket-Protokoll. ”

Der Angriff funktioniert durch Injizieren einer Vielzahl von Skripten WordPress-Websites. Die Skripte wurden im letzten Monat eingespritzt umfassen:

  • hxxps: // cdjs [.] online / lib.js
  • hxxps: // cdjs [.] online / lib.js? ver =…
  • hxxps: // cdns [.] ws / lib / googleanalytics.js? ver =…
  • hxxps: // msdns [.] online / lib / mnngldr.js? ver =…
  • hxxps: // msdns [.] online / lib / klldr.js

    Angreifer injizieren das Online-Skript cdjs [.] In eines der beiden Verzeichnisse WordPress-Datenbank (wp_posts Tabelle) oder in das Thema functions.php Datei, wie es beim Dezember-Angriff der Fall war hat die Cloudflare [.] -Lösungssite verwendet. Sinegubko fand auch die cdns [.] ws- und msdns [.] -Onlineskripte, die in die Themes eingefügt wurden Datei functions.php. Neben der Protokollierung von Tastatureingaben in jede Eingabe In diesem Feld laden die Skripte anderen Code, der dazu führt, dass Site-Besucher ausgeführt werden JavaScript von Coinhive, das die Besuchercomputer zum Minen von verwendet Kryptowährung Monero ohne Warnung.

    In der Sucuri-Veröffentlichung wird nicht explizit angegeben, wie Websites abgerufen werden angesteckt. Höchstwahrscheinlich missbrauchen die Angreifer die Sicherheit Schwächen durch den Einsatz veralteter Software.

    “Während diese neuen Angriffe noch nicht so massiv zu sein scheinen wie die ursprüngliche Cloudflare [.] -Lösungskampagne, die Reinfektionsrate zeigt, dass es immer noch viele Websites gibt, die nicht ordnungsgemäß funktioniert haben schützen sich nach der ursprünglichen Infektion “, schrieb Sinegubko. “Es ist möglich, dass einige dieser Websites das nicht einmal bemerkt haben ursprüngliche Infektion. ”

    Personen, die infizierte Websites bereinigen möchten, sollten diese befolgen Schritte. Es ist wichtig, dass die Site-Betreiber alle Sites ändern Passwörter, da die Skripte Angreifern den Zugriff auf alle alten ermöglichen Einsen.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: