Mindestens 2,000 Wordpress-Websites werden von einem Stück Malware entwickelt, um zu wirken wie ein Kryptowährung Bergmann und einen Keylogger kompromittiert. Die Malware nutzt den Namen Cloudflare und wurde vor einigen Monaten von Sucuri Forscher entdeckt.
Die „cloudflare.solutions“ Malware noch einmal in Kampagnen erkannt
Vor ein paar Monaten das Sucuri Team kam in zwei Injektionen von dem so genannten „cloudflare.solutions“ Malware: ein CoinHive cryptominer verborgen innerhalb gefälscht Google Analytics und jQuery, und der Wordpress-Keylogger von Cloudflare[.]Lösungen. Die Malware wurde im April identifiziert 2017. Eine weiterentwickelte Version davon ist auf neue Domänen verbreiten, die Forschung enthüllt.
Dies ist, was bisher geschah:
Wenige Tage nach unserem Keylogger Beitrag wurden am 8. Dezember veröffentlicht, 2017, die Cloudflare[.]Lösungen Domain wurde abgehängt. Dies war nicht das Ende der Malware-Kampagne, jedoch; Angreifer registriert sofort eine Reihe neuer Domains einschließlich CDJs[.]online am 8. Dezember, cdns[.]ws am 9. Dezember, und msdns[.]online am 16. Dezember.
Nach Angaben der Forscher, der Hacker hinter diesen Malware-Kampagnen sind die gleichen, die fast erfolgreich kompromittiert 5,500 Wordpress-Websites. Beide Kampagnen verwenden die gleiche Malware, die am Anfang beschrieben wurde – die sogenannte „Cloudflare.solutions“ Malware. Jedoch, ein Keylogger wurde auf die Malware-Funktionalitäten vor kurzem hinzugefügt und jetzt Admin-Anmeldeinformationen sind gefährdet - die Malware des Login-Seite des Admin und die Website öffentlich zugängliches Front-End kann ernten.
Die Forscher waren in der Lage mehr injizierten scrips bei dem Angriff im letzten Monat zur Identifizierung:
hxxps://CDJs[.]Online / lib.js
hxxps://CDJs[.]Online / lib.js?ver = ...
hxxps://cdns[.]ws / lib / googleanalytics.js?ver = ...
hxxps://msdns[.]Online / lib / mnngldr.js?ver = ...
hxxps://msdns[.]Online / lib / klldr.js
Die CDJs[.]Online-Skript injiziert wird entweder in einer Wordpress-Datenbank (wp_posts Tisch) oder in das Thema der functions.php Datei, genau wie im vorherigen cloudflare[.]Lösungen Angriff, Der Bericht sagt.
Ähnlich wie bei der vorherigen Kampagne, eine Fälschung gogleanalytics.js ein verschleiertes Script geladen wurde auch entdeckt,.
Wie für den Bergbau Teil der „Cloudflare.solutions“ Malware, die Forscher fanden heraus, dass die Bibliothek jQuery-3.2.1.min.js auf die verschlüsselten CoinHive cryptomining Bibliothek aus der vorherigen Version ähnlich ist, welches geladen wurde aus hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
Wie eine infizierte Webseite reinigen
Auch wenn diese neuen Angriffe sind nicht so umfangreich wie die anfängliche Cloudflare[.]Lösungen Kampagne, die Tatsache, dass die Malware einmal wieder Wordpress infiziert bedeutet, dass es immer noch Admins sind, die richtig es versäumt haben, ihre Websites zu schützen. Die Forscher glauben auch, dass einige der neu infizierte Websites nicht einmal die ursprüngliche Infektion bemerkt haben.
Schließlich, Wenn Sie bemerkt haben, dass Ihre Website durch die kompromittiert wurde Cloudflare[.]Lösungen von Malware, das ist, was Sie tun müssen,: Entfernen Sie den schädlichen Code aus Ihrem Thema der functions.php, Scan wp_posts Tabelle für mögliche Injektionen, ändern Sie alle Wordpress-Passwörter und, zuletzt, Aktualisieren Sie alle Server-Software auch von Drittanbietern Themes und Plugins.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: