Finalmente 2,000 Os sites WordPress foram comprometidos por um malware projetado para agir como um minerador de criptomoeda e um registrador de pressionamento de tecla. O malware aproveita o nome de Cloudfare e foi descoberto há vários meses por pesquisadores da Sucuri.
O malware “cloudflare.solutions” mais uma vez detectado em campanhas
Há alguns meses, a equipe da Sucuri encontrou duas injeções do malware chamado “cloudflare.solutions”: um criptominer CoinHive escondido dentro do falso Google Analytics e jQuery, e o keylogger WordPress da Cloudflare[.]soluções. O malware foi identificado em abril 2017. Uma versão evoluída dele se espalhou para novos domínios, a pesquisa revela.
Isso é o que aconteceu até agora:
Alguns dias depois que nossa postagem do keylogger foi lançada em 8 de dezembro, 2017, o Cloudflare[.]domínio de soluções foi retirado. Este não foi o fim da campanha de malware, Contudo; os invasores registraram imediatamente uma série de novos domínios, incluindo cdjs[.]online em 8 de dezembro, cdns[.]ws em 9 de dezembro, e msdns[.]online em 16 de dezembro.
De acordo com os pesquisadores, os hackers por trás dessas campanhas de malware são os mesmos que comprometeram com sucesso quase 5,500 Sites WordPress. Ambas as campanhas empregam o mesmo malware descrito no início – o assim chamado Malware “cloudflare.solutions”. Contudo, um keylogger foi adicionado recentemente às funcionalidades do malware e agora as credenciais do administrador estão em risco - o malware pode colher a página de login do administrador e o front-end público do site.
Os pesquisadores conseguiram identificar vários scripts injetados usados no ataque no mês passado:
hxxps://cdjs[.]online / lib.js
hxxps://cdjs[.]online / lib.js?veja = ...
hxxps://cdns[.]ws / lib / googleanalytics.js?veja = ...
hxxps://msdns[.]online / lib / mnngldr.js?veja = ...
hxxps://msdns[.]online / lib / klldr.js
o cdjs[.]script online é injetado em um banco de dados WordPress (tabela wp_posts) ou no tema arquivo functions.php, assim como no anterior Cloudflare[.]ataque de soluções, diz o relatório.
Semelhante à campanha anterior, um g falsoogleanalytics.js carregar um script ofuscado também foi descoberto.
Quanto à parte de mineração do Malware “cloudflare.solutions”, os pesquisadores descobriram que a biblioteca jquery-3.2.1.min.js é semelhante à biblioteca criptografada de criptografia CoinHive da versão anterior, que foi carregado de hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
Como limpar um site infectado
Mesmo que esses novos ataques não sejam tão extensos quanto os iniciais Cloudflare[.]campanha de soluções, o fato de o malware estar infectando novamente o WordPress significa que ainda há administradores que não conseguiram proteger adequadamente seus sites. Os pesquisadores até acreditam que alguns dos sites reinfectados nem mesmo notaram a infecção original.
Finalmente, se você notou que seu site foi comprometido pelo Cloudflare[.]soluções de malware, Isso é o que você precisa fazer: remova o código malicioso de functions.php do seu tema, verifique a tabela wp_posts para possíveis injeções, alterar todas as senhas do WordPress e, por último, atualize todos os softwares de servidor, incluindo temas e plug-ins de terceiros.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: