CYBER NEWS

”Cloudflare.solutions” Malware Fundet på Hundredvis af WordPress Websites

wordpress virus billede

I det mindste 2,000 WordPress hjemmesider er blevet kompromitteret af et stykke malware designet til at fungere som en cryptocurrency minearbejder og en tastetryk logger. Den malware udnytter navnet CloudFlare og blev opdaget flere måneder siden af ​​Sucuri forskere.

De ”cloudflare.solutions” Malware Once Again Fundet i kampagner

A few months ago the Sucuri team came across two injections from the so-called “cloudflare.solutions” malware: en CoinHive cryptominer skjult i falske Google Analytics og jQuery, og WordPress keylogger fra CloudFlare[.]løsninger. Den malware blev identificeret i april 2017. En udviklet version af det har spredt sig til nye domæner, den forskning afslører.

Dette er, hvad der er sket indtil nu:

Et par dage efter vores keylogger indlæg blev udgivet den nov 8th, 2017, den CloudFlare[.]løsninger domænet blev taget ned. Dette var ikke slutningen af ​​malware kampagne, dog; angriberne straks registreret en række nye områder, herunder cdjs[.]online på nov 8th, CDN[.]ws den dec 9th, og msdns[.]online på nov 16th.

Ifølge forskerne, hackerne bag disse malware kampagner er de samme, som med held kompromitterede næsten 5,500 WordPress hjemmesider. Begge kampagner ansætte den samme malware, der blev beskrevet i starten – den såkaldte ”Cloudflare.solutions” malware. Men, en keylogger blev for nylig sat til malware funktionaliteter og nu admin legitimationsoplysninger er i fare - malwaren kan høste admin login side og hjemmesiden offentlige vender front-end.

Forskere var i stand til at identificere flere injicerede scrips anvendt i angrebet i den sidste måned:

hxxps://cdjs[.]online / lib.js
hxxps://cdjs[.]online / lib.js?ver = ...
hxxps://CDN[.]ws / lib / googleanalytics.js?ver = ...
hxxps://msdns[.]online / lib / mnngldr.js?ver = ...
hxxps://msdns[.]online / lib / klldr.js

Den cdjs[.]online script injiceres i enten en WordPress database (wp_posts bord) eller ind i temaets functions.php fil, ligesom i den foregående CloudFlare[.]løsninger angreb, hedder det i rapporten.

I lighed med den foregående kampagne, en falsk gogleanalytics.js ilægning af en korrumperet script blev også opdaget.

Med hensyn til minedrift del af ”Cloudflare.solutions” malware, Forskerne fandt, at biblioteket jQuery-3.2.1.min.js ligner den krypterede CoinHive cryptomining bibliotek fra den tidligere version, som var lastet fra hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.

Sådan Clean en inficeret hjemmeside

Selvom disse nye angreb er ikke så omfattende som den første CloudFlare[.]løsninger kampagne, det faktum, at malware engang igen inficerer WordPress betyder, at der stadig er admins, der har undladt at beskytte deres hjemmesider. Forskere mener endda, at nogle af de genindførte inficerede hjemmesider ikke engang mærke den oprindelige infektion.

Endelig, hvis du har bemærket, at din hjemmeside er blevet kompromitteret af CloudFlare[.]løsninger malware, dette er hvad du skal gøre: fjerne den skadelige kode fra din temaets functions.php, scanning wp_posts tabel for mulige injektioner, ændre alle WordPress adgangskoder og, endelig, opdatere alle server software, herunder tredjeparts temaer og plugins.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...