نزدیک به ۲ هزار وب‌سایت وردپرس به کی‌لاگر آلوده شده است

 

بار دیگر مشخص شده نزدیک به ۲ هزار وب سایت وردپرس به یک بدافزار استخراج ارز مجازی آلوده شده اند و این بدافزار تنها به استفاده از منابع بازدیدکننده ی وب سایت برای استخراج ارز مجازی اکتفا نکرده و آن چه که قربانی در صفحه کلید خود تایپ می کند را نیز ذخیره می کند. این بدافزار از یک سرویس مبتنی بر وب با نام Coinhive بهره برداری می کند. این سرویس به صاحبان وب سایت ها اجازه می دهد تا فایل های جاوااسکریپت را به وب سایت خود اضافه کرده و از قدرت پردازنده ی بازدیدکنندگان برای استخراج ارز مجازی استفاده کنند.


محققان امنیتی معتقدند مهاجمانی که این پویش را راه‌اندازی کرده‌اند با پویش قبلی که در آن ۵۴۰۰ وب‌سایت وردپرس به بدافزار استخراج ارز مجازی و کی‌لاگر آلوده شدند یکی است چرا که در هر دو پویش از بدافزار cloudflare[.]solutions استفاده شده است. باتوجه به بررسی‌هایی که سال گذشته انجام شد، این بدافزار برای استخراج ارز مجازی به کار رفته و ربطی به شرکت امنیتی Cloudflare ندارد. مهاجمان به این خاطر که از دامنه‌های این شرکت برای توزیع بدافزار استفاده کرده‌اند، نام cloudflare[.]solutions را به آن اختصاص داده‌اند. 


این بدافزار در ماه نوامبر به‌روزرسانی شده و قابلیت کی‌لاگر به آن اضافه شده است. اگر وب‌سایتی که آلوده شده یک سایت تجاری باشد، مهاجمان می‌توانند داده‌های حساس‌تری مانند اطلاعات کارت‌های اعتباری را به سرقت ببرند. اگر مهاجمان بتوانند اطلاعات و پسورد حساب مدیریتی در وب‌سایت را نیز به سرقت ببرند، بدون اجرای هیچ حمله و بهره‌برداری می‌توانند وارد حساب مدیریتی شوند.


دامنه‌هایی که به توزیع بدافزار cloudflare[.]solution می‌پرداختند ماه گذشته از کار افتادند ولی مهاجمان دامنه‌های جدیدی را برای توزیع بدافزار ثبت کردند تا آن را در وب‌سایت‌های آلوده تعبیه کنند. دامنه‌های جدیدی که توسط مهاجمان ثبت شده دارای اسکریپت‌های cdjs[.]online، cdns[.]ws و msdns[.]online هستند. شبیه به پویش cloudflare[.]solutions، اسکریپت cdjs[.]online در پایگاه داده‌ی وب‌سایت وردپرس و یا فایل قالب با نام functions.php تزریق می‌شود. اسکریپت‌های cdns[.]ws و msdns[.]online نیز در فایل‌های functions.php تزریق شده‌اند.


تعداد وب‌سایت‌هایی که به اسکریپت cdns[.]ws آلوده شده‌اند برابر با ۱۲۹ و وب‌سایت‌های آلوده به اسکریپت cdjs[.]online برابر با ۱۰۳ مورد هستند. به مدیران وب‌سایت‌ها توصیه می‌شود اگر به آلوده شدن وب‌سایت خود مشکوک هستند، فایل‌های آلوده را از بخش functions.php و جدول wp_posts حذف کنند. به کاربران نیز توصیه شده تا پسوردهای وردپرس خود را تغییر داده و افزونه‌ها و قالب‌هایی که از بازارهای شخص ثالث دریافت کرده‌اند به‌روزرسانی کنند.
 

منبع

پست‌های مشابه

Leave a Comment