Almeno 2,000 siti web WordPress sono stati compromessi da una parte di malware progettato per agire come un minatore criptovaluta e un keystroke logger. Il malware sfrutta il nome di CloudFlare ed è stato scoperto alcuni mesi fa dai ricercatori Sucuri.
Le “cloudflare.solutions” malware nuovamente constatato in campagne
Pochi mesi fa la squadra Sucuri sono imbattuto in due iniezioni dal cosiddetto malware “cloudflare.solutions”: un cryptominer CoinHive nascosta all'interno falsi Google Analytics e jQuery, e il keylogger WordPress da Cloudflare[.]soluzioni. Il malware è stato identificato nel mese di aprile 2017. Una versione evoluta di esso è diffuso in nuovi domini, il ricerca rivela.
Questo è ciò che è successo fino ad ora:
Pochi giorni dopo il nostro post keylogger è stato pubblicato il 8 dicembre, 2017, il Cloudflare[.]Le soluzioni del dominio è stata presa in giù. Questa non era la fine della campagna di malware, tuttavia; attaccanti immediatamente registrato un certo numero di nuovi domini, tra cui CDJ[.]online su 8 dicembre, CDN[.]ws su 9 dicembre, e msdns[.]online su 16 Dicembre.
Secondo i ricercatori, gli hacker che stanno dietro queste campagne di malware sono gli stessi che hanno compromesso con successo quasi 5,500 siti web WordPress. Entrambe le campagne utilizzano lo stesso malware che è stato descritto in principio – il cosidetto malware “cloudflare.solutions”. Tuttavia, un keylogger è stato recentemente aggiunto alle funzionalità del malware ed ora credenziali di amministratore sono a rischio - il malware può raccogliere pagina di login del admin e pubblico di fronte front-end del sito web.
I ricercatori sono stati in grado di identificare diversi scrips iniettati utilizzati durante l'attacco nel mese passato:
hxxps://CDJ[.]on-line / lib.js
hxxps://CDJ[.]on-line / lib.js?ver = ...
hxxps://CDN[.]ws / lib / googleanalytics.js?ver = ...
hxxps://msdns[.]on-line / lib / mnngldr.js?ver = ...
hxxps://msdns[.]on-line / lib / klldr.js
Il CDJ[.]sceneggiatura on-line viene iniettato o un database di WordPress (tavolo wp_posts) o il tema del il file functions.php, proprio come nel precedente CloudFlare[.]attacco soluzioni, il rapporto dice.
Analogamente alla campagna precedente, un falso gogleanalytics.js il caricamento di uno script offuscato stato anche scoperto.
Per quanto riguarda la parte di data mining della malware “cloudflare.solutions”, i ricercatori hanno scoperto che la libreria jquery-3.2.1.min.js è simile a quello criptato libreria cryptomining CoinHive dalla versione precedente, che è stato caricato dal hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
Come pulire un sito infetto
Anche se questi nuovi attacchi non sono così ampie come l'iniziale Cloudflare[.]campagna di soluzioni, il fatto che il malware è ancora una volta infettando WordPress significa che ci sono ancora amministratori che non sono riusciti a proteggere adeguatamente i loro siti web. I ricercatori ritengono addirittura che alcuni dei re-infettati siti web non si accorse nemmeno l'infezione originale.
Infine, se avete notato che il vostro sito è stato compromesso dal Cloudflare[.]Le soluzioni di malware, questo è quello che hai bisogno di fare: rimuovere il codice dannoso dal functions.php del vostro tema, tavolo wp_posts scansione per eventuali iniezioni, cambiare tutte le password di WordPress e, da ultimo, aggiornare tutti i software server, tra cui temi di terze parti e plugin.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: