Keylogger terinfeksi ribuan situs WordPress

Computer Security News

Pakar keamanan Sucuri melaporkan bahwa lebih dari 5.500 WordPress situs telah terinfeksi dengan sepotong malware yang mampu penebangan input pengguna.

Infeksi ini adalah bagian dari kampanye April yang dianalisis oleh pakar keamanan. Menurut mereka, situs web yang terinfeksi dengan sepotong malware yang bernama cloudflare.solutions. Pada waktu itu, malware makan cryptominers, dan sekarang ini adalah menambahkan keyloggers ke dalam campuran.

Saat ini, cloudflare.solutions malware hadir di situs web 5,496, dan kelihatannya seperti nomor terus meningkat.

Disuntikkan, script [.] solusi Cloudflare ditambahkan ke antrian WordPress situs yang menggunakan tema function.php, dan CloudFlare palsu domain digunakan dalam URL. Kemudian, salah satu URL beban salinan sah ReconnectingWebSocket Perpustakaan. Setelah itu, halaman utama dari domain mengklaim bahwa “server adalah bagian dari percobaan sains mesin belajar algoritma proyek.”

Untuk melacak situs yang terinfeksi, naskah cors.js yang digunakan ada beban Yandex.Metrika (Yandex’s alternatif ke Google Analytics).

Selain itu, para ahli menemukan dua URL cdnjs.cloudflare.com dengan parameter yang lama heksadesimal, dengan kedua dari mereka milik CloudFlare. Namun demikian, ini tidak sah dan salah satu dari mereka bahkan tidak ada – ini adalah link ke muatan yang disampaikan dalam bentuk bilangan heksadesimal setelah tanda tanya di URL.

Tujuan dari script adalah untuk men-decode muatan dan menyuntikkan hasilnya ke situs, yang mengakibatkan keylogger berbahaya.

“Script ini menambahkan sebuah penangan untuk setiap input field pada website untuk mengirim nilainya ke penyerang (wss: //cloudflare[.]solutions:8085/) bila pengguna meninggalkan bidang itu,” para peneliti Sucuri mengatakan.

Dalam kasus situs WordPress memiliki beberapa fungsi e-commerce, keylogger memungkinkan para penyerang mencuri rincian pembayaran embedding bentuk checkout, serta rahasia login. Selain itu, cloudflare [.] solusi keylogger dapat disuntikkan ke halaman login juga.

Karena fakta bahwa kode berbahaya yang tersembunyi dalam file function.php tema WordPress, menghapus fungsi add_js_scripts dan add_action klausa yang menyebutkan add_js_scripts harus mencegah serangan.

“Mengingat fungsi keylogger malware ini, Anda harus mempertimbangkan semua password WordPress terganggu sehingga langkah wajib berikutnya pembersihan adalah mengubah password (sebenarnya sangat disarankan setelah situs hack),” tim Sucuri negara.

Mengingat fakta bahwa cloudflare.solutions menyuntikkan coinhive cryptocurrency penambang script ke situs, admin disarankan untuk memeriksa situs web mereka untuk infeksi lainnya.


Leave a Reply

Your email address will not be published. Required fields are marked *