Aproape 5500 de site-uri care folosesc platforma WordPress, infectate cu un Keylogger care interceptează cuvintele tastate de vizitatori

Autor: Aurelian Mihai 08.12.2017
Aproape 5500 de site-uri care folosesc platforma WordPress, infectate cu un Keylogger care interceptează cuvintele tastate de vizitatori

Preferată de hackeri datorită numărului foarte mare de site-uri care o folosesc, multe dintre acestea fiind chiar magazine online, platforma WordPress este ţinta unei ample campanii de atacuri ce au ca mod operare infiltrarea prin diverse metode a unui script de tip Keylogger, folosit apoi pentru a intercepta nume de utilizator şi parole, respectiv datele cardurilor bancare furnizate de clienţii magazinelor online. Maximizând potenţialul pentru profit, unele atacuri infiltrează şi script-uri pentru minarea de monede virtuale, folosind în mod clandestin puterea de procesare a PC-urilor care vizitează site-urile infectate.

Majoritatea atacurilor au ca punct de pornire un script inserat într-un fişier numit funcţions.php, prezent în orice temă de WordPress. Lăsat să ruleze nestingherit, acesta va intercepta toate cuvintele tastate de vizitatori la secţiunea comentarii, însă devine cu atât periculos în cazul magazinelor online, unde poate trimite hackerilor datele cardului de credit şi orice date de identificare furnizate la plasarea unei comenzi.

Detectat pe aproape 5500 de site-uri, scriptul trimite datele colectate unui server găzduit de platforma Cloudflare (adresă wss://cloudflare[.]solutions:8085/), campania de atacuri fiind încă în plină desfăşurare.

Administratorii site-urilor infectate sunt îndrumaţi să editeze manual fişierul function.php file din tema WordPress activă, înlăturând funcţiile de tip add_js_scripts şi clauzele add_action care menţionează funcţii de tip add_js_scripts. Următorul pas este schimbarea tuturor parolelor folosite şi informarea utilizatorilor ale căror date personale ar putea fi compromise.

Tags: