已有近5500个WordPress 受感染登录键盘记录

  • 已有近5500个WordPress 受感染登录键盘记录已关闭评论
  • 267 views
  • A+
所属分类:安全资讯

近5,500个WordPress站点感染了一个记录击键的恶意脚本,有时还会加载浏览器中的加密货币矿工。

恶意脚本正在从“cloudflare.solutions”域加载,该域与Cloudflare无关,只要用户从输入字段切换,就会记录用户在表单字段中输入的内容。

该脚本同时加载到网站的前端和后端,这意味着它可以在登录到网站的管理面板时记录用户名和密码。

已有近5500个WordPress 受感染登录键盘记录

脚本在前台运行时也是危险的。虽然在大多数的WordPress网站上,它可以窃取用户数据的唯一地方是来自评论领域,一些WordPress网站被配置为在线商店运行。在这些情况下,攻击者可以记录信用卡数据和个人用户信息。

这些事件大多发生是因为黑客通过各种手段攻击了WordPress站点,并将恶意脚本隐藏在functions.php中,这是在所有WordPress主题中找到的标准文件。

攻击者从四月份开始一直活跃

这些攻击并不新鲜。Sucuri已经跟踪了至少三个在cloudflare.solutions域中托管的不同恶意脚本。

第一个发生在四月份,攻击者利用恶意JavaScript文件在被黑网站上嵌入横幅广告。

到了十一月份,同一个团队改变了策略,并加载了伪装成假jQuery和Google Analytics JavaScript文件的恶意脚本,这些文件实际上是Coinhive在浏览器中加密货币矿工的副本。到11月22日,这个运动被发现在1,833个地点。

在Sucuri检测到的这一系列最新的攻击中,黑客已经将cryptojacking脚本保留在原位,但也添加了键盘记录组件。

脚本活跃在近5,500个WordPress网站上

据PublicWWW称,这个恶意脚本版本目前在5496个站点上活跃,大多数排在Alexa Top 20,000之外。

Sucuri专家为从cloudflare.solutions域发现加载在其网站上的脚本的所有者提供了以下缓解建议。

正如我们已经提到的,恶意代码驻留在WordPress主题的function.php文件中。您应该删除add_js_scripts 函数和所有提及add_js_scripts add_action 子句。考虑到这个恶意软件的键盘记录功能,你应该考虑所有的WordPress密码,所以下一个强制性的清理步骤就是改变密码(实际上它是在任何站点破解之后强烈推荐的)。不要忘记检查您的网站是否也有其他感染。

本文翻译自bleepingcomputer ,转载请注明来自404安全