Al menos 2,000 sitios web de WordPress han sido comprometidos por una pieza de malware diseñado para actuar como un minero criptomoneda y un capturador de teclado. El malware aprovecha el nombre de CloudFlare y fue descubierto hace varios meses por investigadores Sucuri.
Los “cloudflare.solutions” malware una vez más detectado en las campañas
Hace unos meses, el equipo Sucuri se encontró con dos inyecciones de la llamada malware “cloudflare.solutions”: un cryptominer CoinHive oculta dentro falsos Google Analytics y jQuery, y el keylogger WordPress desde Cloudflare[.]soluciones. El software malicioso se identificó en abril 2017. Una versión evolucionada del que se ha extendido a nuevos dominios, la investigación revela.
Esto es lo que ha ocurrido hasta ahora:
Pocos días después de nuestro post keylogger fue puesto en libertad el 8 de Dic, 2017, la Cloudflare[.]soluciones dominio fue bajado. Este no fue el final de la campaña de malware, sin embargo; atacantes inmediatamente registrado un número de nuevos dominios incluyendo CDJs[.]en línea el 8 de Dic, cdns[.]ws el 9 de Dic, y msdns[.]en línea el dic decimosexta.
De acuerdo con los investigadores, los hackers detrás de estas campañas de malware son los mismos que comprometieron con éxito casi 5,500 sitios web de WordPress. Ambas campañas emplean el mismo software malicioso que se describió en el comienzo – la llamada malware “cloudflare.solutions”. Sin embargo, un keylogger se ha añadido recientemente a las funcionalidades de malware y ahora las credenciales de administrador están en riesgo - el malware puede cosechar página de inicio de sesión del administrador y del lado público front-end de la página web.
Los investigadores fueron capaces de identificar varios scripts inyectados utilizados en el ataque en el último mes:
hxxps://CDJs[.]línea / lib.js
hxxps://CDJs[.]línea / lib.js?ver=…
hxxps://cdns[.]ws / lib / googleanalytics.js?ver=…
hxxps://msdns[.]línea / lib / mnngldr.js?ver=…
hxxps://msdns[.]línea / lib / klldr.js
El CDJs[.]la escritura en línea se inyecta en o bien una base de datos de WordPress (tabla wp_posts) o en el tema de archivo functions.php, al igual que en el anterior CloudFlare[.]soluciones de ataque, el informe dice.
Al igual que en la campaña anterior, un g falsoogleanalytics.js cargar un script ofuscado También se descubrió.
En cuanto a la parte de la minería malware “cloudflare.solutions”, los investigadores encontraron que la biblioteca jQuery-3.2.1.min.js es similar a la biblioteca de cifrado cryptomining CoinHive de la versión anterior, que fue cargado desde hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
Cómo limpiar un sitio web infectado
A pesar de que estos nuevos ataques no son tan extensas como la inicial Cloudflare[.]campaña de soluciones, el hecho de que el malware es una vez más infectando WordPress significa que todavía hay administradores que no han logrado proteger adecuadamente sus sitios web. Los investigadores creen incluso que algunos de los sitios web reinfectados ni se dio cuenta de la infección original.
Finalmente, si se ha dado cuenta de que su sitio web ha sido comprometida por la Cloudflare[.]soluciones de software malicioso, Esto es lo que necesitas hacer: eliminar el código malicioso de functions.php de tu tema, wp_posts mesa de exploración de posibles inyecciones, cambiar todas las contraseñas y WordPress, Finalmente, actualizar todo el software del servidor, incluyendo temas de terceros y plugins.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: