Au moins 2,000 sites WordPress ont été compromis par un code malveillant conçu pour agir comme un mineur et un crypto-monnaie keylogger. Le logiciel malveillant exploite le nom de CloudFlare et a été découvert il y a plusieurs mois par des chercheurs Sucuri.
Les « cloudflare.solutions » Malware Once Again Détecté dans les campagnes
Il y a quelques mois, l'équipe Sucuri est tombé sur deux injections de la soi-disant logiciels malveillants « de cloudflare.solutions »: un cryptominer CoinHive dissimulé dans de faux Google Analytics et jQuery, et le keylogger WordPress de Cloudflare[.]solutions. Le logiciel malveillant a été identifié en Avril 2017. Une version évoluée de celui-ci est étendue à de nouveaux domaines, la recherche révèle.
C'est ce qui est arrivé à ce jour:
Quelques jours après notre post keylogger a été libéré le 8 décembre, 2017, le Cloudflare[.]solutions domaine a été prise vers le bas. Ce ne fut pas la fin de la campagne des logiciels malveillants, cependant; attaquants immédiatement enregistré un certain nombre de nouveaux domaines, y compris CDJ[.]en ligne le 8 décembre, cdns[.]ws le 9 décembre, et MSDNS[.]en ligne le 16 décembre.
Selon les chercheurs, les pirates derrière ces campagnes de logiciels malveillants sont les mêmes que ceux qui compromettaient avec succès presque 5,500 sites WordPress. Les deux campagnes utilisent le même logiciel malveillant qui a été décrit au début – la dite malware « de cloudflare.solutions ». Cependant, un keylogger a récemment été ajouté aux fonctionnalités des logiciels malveillants et maintenant des informations d'identification administrateur sont à risque - le logiciel malveillant peut récolter la page de connexion admin et frontal public face du site.
Les chercheurs ont pu identifier plusieurs scripts injectés utilisés dans l'attaque au cours du mois dernier:
hxxps://CDJ[.]en ligne / lib.js
hxxps://CDJ[.]en ligne / lib.js?ver = ...
hxxps://cdns[.]ws / lib / googleanalytics.js?ver = ...
hxxps://MSDNS[.]en ligne / lib / mnngldr.js?ver = ...
hxxps://MSDNS[.]en ligne / lib / klldr.js
La CDJ[.]texte en ligne est injectée dans soit une base de données WordPress (table wp_posts) ou dans le thème de fichier functions.php, tout comme dans le précédent cloudflare[.]solutions attaque, le rapport.
De même à la campagne précédente, un faux gogleanalytics.js charger un script obscurcie a également été découvert.
Quant à la partie minière du malware « de cloudflare.solutions », les chercheurs ont constaté que la bibliothèque jquery-3.2.1.min.js est similaire à la bibliothèque CoinHive cryptée cryptomining de la version précédente, qui a été chargé à partir de hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 02/03/11.
Comment nettoyer un site infecté
Bien que ces nouvelles attaques ne sont pas aussi étendus que la première Cloudflare[.]solutions campagne, le fait que le malware est une fois infectent à nouveau WordPress signifie qu'il ya encore admins qui ont échoué à protéger correctement leurs sites Web. Les chercheurs pensent même que certains des sites Web réinfectés n'a même pas remarqué l'infection d'origine.
Enfin, si vous avez remarqué que votre site a été compromise par la Cloudflare[.]solutions logiciels malveillants, c'est ce que vous devez faire: supprimer le code malveillant de la functions.php de votre thème, scan table wp_posts pour les injections possibles, changer les mots de passe WordPress et, enfin, mettre à jour tous les logiciels de serveur, y compris des thèmes tiers et plugins.