بار دیگر مشخص شده نزدیک به ۲ هزار وب سایت وردپرس به یک بدافزار استخراج ارز مجازی آلوده شده اند و این بدافزار تنها به استفاده از منابع بازدیدکننده ی وب سایت برای استخراج ارز مجازی اکتفا نکرده و آن چه که قربانی در صفحه کلید خود تایپ می کند را نیز ذخیره می کند. این بدافزار از یک سرویس مبتنی بر وب با نام Coinhive بهره برداری می کند. این سرویس به صاحبان وب سایت ها اجازه می دهد تا فایل های جاوااسکریپت را به وب سایت خود اضافه کرده و از قدرت پردازنده ی بازدیدکنندگان برای استخراج ارز مجازی استفاده کنند.
محققان امنیتی معتقدند مهاجمانی که این پویش را راهاندازی کردهاند با پویش قبلی که در آن ۵۴۰۰ وبسایت وردپرس به بدافزار استخراج ارز مجازی و کیلاگر آلوده شدند یکی است چرا که در هر دو پویش از بدافزار cloudflare[.]solutions استفاده شده است. باتوجه به بررسیهایی که سال گذشته انجام شد، این بدافزار برای استخراج ارز مجازی به کار رفته و ربطی به شرکت امنیتی Cloudflare ندارد. مهاجمان به این خاطر که از دامنههای این شرکت برای توزیع بدافزار استفاده کردهاند، نام cloudflare[.]solutions را به آن اختصاص دادهاند.
این بدافزار در ماه نوامبر بهروزرسانی شده و قابلیت کیلاگر به آن اضافه شده است. اگر وبسایتی که آلوده شده یک سایت تجاری باشد، مهاجمان میتوانند دادههای حساستری مانند اطلاعات کارتهای اعتباری را به سرقت ببرند. اگر مهاجمان بتوانند اطلاعات و پسورد حساب مدیریتی در وبسایت را نیز به سرقت ببرند، بدون اجرای هیچ حمله و بهرهبرداری میتوانند وارد حساب مدیریتی شوند.
دامنههایی که به توزیع بدافزار cloudflare[.]solution میپرداختند ماه گذشته از کار افتادند ولی مهاجمان دامنههای جدیدی را برای توزیع بدافزار ثبت کردند تا آن را در وبسایتهای آلوده تعبیه کنند. دامنههای جدیدی که توسط مهاجمان ثبت شده دارای اسکریپتهای cdjs[.]online، cdns[.]ws و msdns[.]online هستند. شبیه به پویش cloudflare[.]solutions، اسکریپت cdjs[.]online در پایگاه دادهی وبسایت وردپرس و یا فایل قالب با نام functions.php تزریق میشود. اسکریپتهای cdns[.]ws و msdns[.]online نیز در فایلهای functions.php تزریق شدهاند.
تعداد وبسایتهایی که به اسکریپت cdns[.]ws آلوده شدهاند برابر با ۱۲۹ و وبسایتهای آلوده به اسکریپت cdjs[.]online برابر با ۱۰۳ مورد هستند. به مدیران وبسایتها توصیه میشود اگر به آلوده شدن وبسایت خود مشکوک هستند، فایلهای آلوده را از بخش functions.php و جدول wp_posts حذف کنند. به کاربران نیز توصیه شده تا پسوردهای وردپرس خود را تغییر داده و افزونهها و قالبهایی که از بازارهای شخص ثالث دریافت کردهاند بهروزرسانی کنند.