I det mindste 2,000 WordPress hjemmesider er blevet kompromitteret af et stykke malware designet til at fungere som en cryptocurrency minearbejder og en tastetryk logger. Den malware udnytter navnet CloudFlare og blev opdaget flere måneder siden af Sucuri forskere.
De ”cloudflare.solutions” Malware Once Again Fundet i kampagner
For et par måneder siden den Sucuri hold kom på tværs af to injektioner fra den såkaldte ”cloudflare.solutions” malware: en CoinHive cryptominer skjult i falske Google Analytics og jQuery, og WordPress keylogger fra CloudFlare[.]løsninger. Den malware blev identificeret i april 2017. En udviklet version af det har spredt sig til nye domæner, den forskning afslører.
Dette er, hvad der er sket indtil nu:
Et par dage efter vores keylogger indlæg blev udgivet den nov 8th, 2017, den CloudFlare[.]løsninger domænet blev taget ned. Dette var ikke slutningen af malware kampagne, dog; angriberne straks registreret en række nye områder, herunder cdjs[.]online på nov 8th, CDN[.]ws den dec 9th, og msdns[.]online på nov 16th.
Ifølge forskerne, hackerne bag disse malware kampagner er de samme, som med held kompromitterede næsten 5,500 WordPress hjemmesider. Begge kampagner ansætte den samme malware, der blev beskrevet i starten – den såkaldte ”Cloudflare.solutions” malware. Men, en keylogger blev for nylig sat til malware funktionaliteter og nu admin legitimationsoplysninger er i fare - malwaren kan høste admin login side og hjemmesiden offentlige vender front-end.
Forskere var i stand til at identificere flere injicerede scrips anvendt i angrebet i den sidste måned:
hxxps://cdjs[.]online / lib.js
hxxps://cdjs[.]online / lib.js?ver = ...
hxxps://CDN[.]ws / lib / googleanalytics.js?ver = ...
hxxps://msdns[.]online / lib / mnngldr.js?ver = ...
hxxps://msdns[.]online / lib / klldr.js
Den cdjs[.]online script injiceres i enten en WordPress database (wp_posts bord) eller ind i temaets functions.php fil, ligesom i den foregående CloudFlare[.]løsninger angreb, hedder det i rapporten.
I lighed med den foregående kampagne, en falsk gogleanalytics.js ilægning af en korrumperet script blev også opdaget.
Med hensyn til minedrift del af ”Cloudflare.solutions” malware, Forskerne fandt, at biblioteket jQuery-3.2.1.min.js ligner den krypterede CoinHive cryptomining bibliotek fra den tidligere version, som var lastet fra hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
Sådan Clean en inficeret hjemmeside
Selvom disse nye angreb er ikke så omfattende som den første CloudFlare[.]løsninger kampagne, det faktum, at malware engang igen inficerer WordPress betyder, at der stadig er admins, der har undladt at beskytte deres hjemmesider. Forskere mener endda, at nogle af de genindførte inficerede hjemmesider ikke engang mærke den oprindelige infektion.
Endelig, hvis du har bemærket, at din hjemmeside er blevet kompromitteret af CloudFlare[.]løsninger malware, dette er hvad du skal gøre: fjerne den skadelige kode fra din temaets functions.php, scanning wp_posts tabel for mulige injektioner, ændre alle WordPress adgangskoder og, endelig, opdatere alle server software, herunder tredjeparts temaer og plugins.