Minstens 2,000 WordPress websites zijn aangetast door een stuk van malware ontworpen om te fungeren als een cryptogeld mijnwerker en een toetsaanslag logger. De malware maakt gebruik van de naam van CloudFlare en werd enkele maanden geleden ontdekt door Sucuri onderzoekers.
De “cloudflare.solutions” Malware opnieuw laten detecteren in campagnes
Een paar maanden geleden kwam het Sucuri team over twee injecties van de zogenaamde “cloudflare.solutions” malware: een CoinHive cryptominer verborgen binnen nep Google Analytics en jQuery, en de WordPress keylogger van Cloudflare[.]oplossingen. De malware werd geïdentificeerd in april 2017. Een geëvolueerde versie van het zich heeft verspreid naar nieuwe domeinen, de onderzoek onthult.
Dit is wat tot nu toe is gebeurd:
Een paar dagen na onze keylogger bericht werd uitgebracht op 8 december, 2017, de Cloudflare[.]oplossingen domein werd genomen. Dit was niet het einde van de malware-campagne, echter; aanvallers onmiddellijk registreerde een aantal nieuwe domeinen, waaronder CDJ[.]online op 8 december, CDN[.]ws op 9 december, en msdns[.]online op 16 december.
Volgens de onderzoekers, de hackers achter deze malware campagnes zijn dezelfde die met succes bijna uit 5,500 WordPress websites. Beide campagnes gebruik van dezelfde malware die in het begin werd beschreven – de zogenoemde “Cloudflare.solutions” malware. Echter, een keylogger werd onlangs toegevoegd aan de malware functionaliteiten en nu beheerdersinloggegevens lopen het risico - de malware kan de beheerder login pagina en de website publieksgerichte front-end te oogsten.
De onderzoekers waren in staat om meerdere geïnjecteerd scrips gebruikt in de aanval te identificeren in de afgelopen maand:
hxxps://CDJ[.]online / lib.js
hxxps://CDJ[.]online / lib.js?ver = ...
hxxps://CDN[.]ws / lib / googleanalytics.js?ver = ...
hxxps://msdns[.]online / lib / mnngldr.js?ver = ...
hxxps://msdns[.]online / lib / klldr.js
Het CDJ[.]online script wordt geïnjecteerd in ofwel een WordPress gegevensbank (wp_posts tafel) of naar de thema's functions.php file, Net als in de vorige cloudflare[.]oplossingen aanval, in het verslag staat.
Net zoals bij de vorige campagne, een nep gogleanalytics.js het laden van een versluierd script werd ook ontdekt.
Wat betreft de winning van het “Cloudflare.solutions” malware, de onderzoekers gevonden dat de bibliotheek jQuery-3.2.1.min.js is vergelijkbaar met de versleutelde CoinHive cryptomining bibliotheek van de vorige versie, dat werd geladen van hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
Hoe een geïnfecteerde website Reinig
Hoewel deze nieuwe aanvallen zijn niet zo uitgebreid als de initiële Cloudflare[.]oplossingen campagne, het feit dat de malware wordt opnieuw infecteren WordPress betekent dat er nog steeds admins die er niet in geslaagd om hun websites behoren te beschermen. Onderzoekers geloven zelfs dat sommige van de re-geïnfecteerde websites niet eens de oorspronkelijke infectie waarneemt.
Eindelijk, Als je hebt gemerkt dat uw website in gevaar is gebracht door de Cloudflare[.]oplossingen malware, dit is wat je hoeft te doen: Verwijder de kwaadaardige code uit functions.php van uw thema, scan wp_posts lijst voor een mogelijke injecties, verander alle WordPress wachtwoorden en, tenslotte, actualiseren alle serversoftware inbegrip van derden thema's en plug-ins.