Prikaži glavni meni

Više od 2000 WordPress sajtova inficirano majnerom kriptovaluta i keyloggerom

Vesti, 30.01.2018, 01:00 AM

Više od 2000 WordPress sajtova zaraženo je malverom za rudarenje digitalnog novca koji ne samo da koristi resurse računara posetilaca za rudarenje, već i beleži pritisak svakog tastera na tastaturi.

Istraživači iz kompanije Sucuri otkrili su kampanju u kojoj se inficiraju WordPress sajtovi malicioznom skriptom koja isporučuje CoinHive majner za kriptovalute u browseru i keylogger.

Coinhive je popularni servis koji se vlasnicima web sajtova nudi kao alternativa online oglasima, i koji im omogućava da iskoriste procesore posetilaca za rudarenje Monero kriptovalute.

Istraživači kažu da su oni koji stoje iza ove kampanje isti oni koji su prošlog meseca inficirali više od 5400 Wordpress sajtova, pošto je u obe kampanje korišćen malver koji sadrži i keylogger i majner a koji je nazvan cloudflare[.]solutions.

Malver je primećen prvi put u aprilu prošle godine. On nije ni u kakvoj vezi sa kompanijom Cloudflare već je ime dobio po tome što je koristio domen cloudflare[.]solutions kada je počeo da se širi.

Malvare je ažuriran u novembru da bi uključio i keylogger.

Ako je inficirani WordPress sajt platforma za e-trgovinu, napadači mogu ukrasti mnogo više vrednih podataka, uključujući i podatke o platnim karticama. Ako uspeju da ukradu administratorske akreditive, oni se mogu jednostavno prijaviti na sajt, i tako sebe poštedeti truda oko pronalaženja propusta u sajtu i hakovanja sajta.

Domen cloudflare[.]solutions je prošlog meseca ugašen, ali kriminalci koji stoje iza kampanje su registrovali nove domene za hostovanje svojih skripta koje se na kraju učitavaju na WordPress sajtovima. Novi domeni su cdjs[.]online (registrovan 8. decembra), cdns[.]ws (registrovan 9. decembra) i msdns[.]online (16. decembra).

Broj zaraženih sajtova za cdns[.]ws domen je oko 129 i 103 za cdjs[.]online a više od hiljadu sajtova je zaraženo msdns[.]online domenom.

Istraživači kažu da većina web sajtova verovatno još nije indeksirana.

"Iako ovi novi napadi još uvek ne izgledaju masovni kao originalna kampanja Cloudflare[.]solutions, stopa ponovne infekcije pokazuje da još uvek ima mnogo sajtova koji se nisu pravilno zaštitili nakon prvobitne infekcije. Moguće je da neki od ovih web sajtova čak nisu ni primetili prvobitnu infekciju ", zaključili su istraživači iz firme Sucuri.