صدها وبسایت وردپرس به یک کیلاگر آلوده شدهاند که میتواند دادههایی که کاربران وارد میکنند را ثبت و ضبط کند. این پویش از ماه آوریل آغاز شده و وبسایتهای وردپرس به بدافزار cloudflare.solutions آلوده شدهاند. در حال حاضر این بدافزار بر روی ۵۴۹۶ وبسایت وردپرس وجود داشته و این تعداد رو به افزایش است.
اسکریپت Cloudflare[.]solutions به صفی که صفحات وردپرس از function.php استفاده میکنند تزریق شده و در آدرسهای URL نیز از دامنهی جعلی CloudFlare میکند. یکی از این دامنههای جعلی، یک کپی از کتابخانهی ReconnectingWebSocket بارگذاری میکند. در صفحهی اصلی این دامنه ادعا شده که این صفحه جزئی از یک پروژهی تجربی و الگوریتم یادگیری است.
محققان همچنین ۲ آدرس cdnjs.cloudflare.com را کشف کردند که انتهای آنها پارامترهای هگزادسیمال طولانی وجود داشته و هر دوی آنها متعلق به CloudFlare هستند. هرچند اینها قانونی نبوده و یکی از آنها وجود هم ندارد اما لینک مربوط به بار داده در قالب یک پارامتر هگزادسیمال در انتهای آدرس پس از علامت سوال، اضافه شده است.
این اسکریپت طوری طراحی شده که بار داده را کدگشایی کرده و مقدار حاصل را در صفحات وب تزریق میکند تا قابلیت کیلاگر فراهم شود. در این اسکریپت، برای هر فیلد ورودی توسط کاربر، یک هندلر قرار داده شده است. زمانیکه کاربر فیلدی را تکمیل کرد، این مقادیر را برای مهاجم به آدرس wss://cloudflare[.]solutions:8085/ ارسال میکند. اگر سایتی که آلوده شده، مربوط به حوزهی تجارت الکترونیک باشد، این کیلاگر میتواند اطلاعات کارتهای اعتباری را به سرقت ببرد.
بهخاطر اینکه این کد مخرب، داخل فایل function.php قرار دارد، حذف توابع add_js_scripts و تمامی add_action که add_js_scripts را فراخونی میکند، میتواند از وقوع حمله جلوگیری کند. از آنجا که بدافزار cloudflare.solutions، اسکریپتهای دیگری را برای استخراج ارز مجازی نیز به وبسایتها تزریق میکند، به مدیران وبسایتها توصیه شده نوع دیگری از آلودگیها را نیز بررسی کنند.
