Исследователи предупреждают, что более 2000 сайтов, которые работают на CMS WordPress, заражены вредоносным кодом.

Скрипт регистрирует пароли и другие вводимые посетителями данные. Также кейлоггер устанавливает в браузере криптовалютный майнер Coinhive, который скрытно запускается на компьютерах пользователей, посещающих зараженные сайты.
В декабрьском сообщении компании Sucuri сообщалось, что эта кампания заражения сайтов предположительно запущена с апреля 2017, и от рук злоумышленников на тот момент пострадало более 5500 сайтов. Тогда распространение вируса удалось пресечь, удалив домен, который распространял его – cloudflare[.]solutions.
Однако это был не конец атаки – злоумышленники быстро зарегистрировали ряд новых доменов, включая msdns[.]online, cdns[.]ws и cdjs[.]online. Ни один из сайтов, на которых размещен код, не имеет никакого отношения к компании Cloudflare или любой другой.
«К сожалению, для ничего не подозревающих пользователей и владельцев зараженных сайтов, кейлоггер ведет себя так же, как в предыдущих кампаниях», - пишет исследователь Sucuri Денис Синегубко. «Сценарий отправляет данные, введенные в каждую форму сайта (включая форму входа) хакерам через протокол WebSocket.
Преимущественно скрипты внедряются в базу данных сайта (wp_posts table) или в файл functions.php. Помимо регистрации нажатий клавиш, введенных в любое поле ввода, скрипты загружают другой код, который запускает JavaScript код майнера Coinhive, который использует компьютеры посетителей, чтобы добывать криптовалюту Monero без предупреждения.
Обнаруженные скрипты включают:
• hxxps://cdjs[.]online/ lib.js • hxxps://cdjs[.]online/ lib.js ?ver=…
• hxxps://cdns[.]ws/lib/ googleanalytics.js ?ver=…
• hxxps://msdns[.]online/lib/ mnngldr.js ?ver=…
• hxxps://msdns[.]online/lib/ klldr.js В сообщении Sucuri явно не указано, как заражаются сайты. По всей вероятности, злоумышленники используют уязвимости безопасности, возникающие в результате использования устаревшего программного обеспечения.
«Хотя эти новые атаки еще не кажутся такими же массивными, как первоначальная кампания Cloudflare.solutions, скорость заражения показывает, что по-прежнему существует множество сайтов, которые не смогли надлежащим образом защитить себя после первоначальной атаки вируса», - пишет Синегубко. «Возможно, некоторые из этих сайтов даже не заметили атаки».
Чтобы «вылечить» WordPress-сайт, который подвергся атаке вредоносных программ, или просто провести профилактику, наши специалисты подготовили для вас небольшую и простую пошаговую инструкцию. Но о ней мы расскажем в одной из следующих публикаций.
#runetsoft #хакеры #hack #wordpress