Más de 2.000 sitios web de WordPress están infectados con un keylogger

Una captura de pantalla que muestra un keylogger extrayendo nombres de usuario y contraseñas. Actualmente está infectando más de 2,000 sitios web de WordPressAmpliar / Una captura de pantalla que muestra un keylogger extrayendo nombres de usuario y contraseñas Actualmente está infectando más de 2,000 WordPress sitios web. Sucuri

Más de 2.000 sitios web que ejecutan el código abierto de WordPress Investigadores infectan el sistema de gestión de contenido con malware advirtió a fines de la semana pasada. El malware en cuestión registra contraseñas y casi cualquier otra cosa que un administrador o visitante escriba.

El keylogger es parte de un paquete malicioso que también instala un minero de criptomonedas en el navegador que se ejecuta subrepticiamente en Las computadoras de las personas que visitan los sitios infectados. Datos proporcionados aquí, aquí y aquí por el servicio de búsqueda de sitios web PublicWWW mostró que, a partir del lunes por la tarde, el paquete se estaba ejecutando en 2,092 sitios.

La firma de seguridad del sitio web Sucuri dijo que esto es lo mismo malicioso El código se encontró en casi 5.500 sitios de WordPress en diciembre. Esas infecciones se limpiaron después de las soluciones cloudflare [.]: La el sitio utilizado para alojar los scripts maliciosos fue eliminado. El nuevo las infecciones se alojan en tres sitios nuevos, msdns [.] en línea, cdns [.] ws y cdjs [.] en línea. Ninguno de los sitios que alojan el código. tiene alguna relación con Cloudflare o cualquier otra compañía legítima.

“Desafortunadamente para los usuarios desprevenidos y los propietarios de los infectados sitios web, el keylogger se comporta de la misma manera que en anteriores campañas “, escribió el investigador de Sucuri Denis Sinegubko en una publicación de blog. “El script envía los datos ingresados ​​en cada formulario del sitio web (incluido el formulario de inicio de sesión) a los piratas informáticos a través del protocolo WebSocket “.

El ataque funciona mediante la inyección de una variedad de scripts en Sitios web de WordPress. Los guiones inyectados en el último mes incluir:

  • hxxps: // cdjs [.] en línea / lib.js
  • hxxps: // cdjs [.] online / lib.js? ver = …
  • hxxps: // cdns [.] ws / lib / googleanalytics.js? ver = …
  • hxxps: // msdns [.] en línea / lib / mnngldr.js? ver = …
  • hxxps: // msdns [.] en línea / lib / klldr.js

    Los atacantes inyectan el script en línea cdjs [.] En cualquiera de los sitios Base de datos de WordPress (tabla wp_posts) o en el tema archivo functions.php, como fue el caso en el ataque de diciembre que utilizó el sitio de soluciones cloudflare [.]. Sinegubko también encontró el cdns [.] ws y msdns [.] scripts en línea inyectados en el tema Funciunos. php archivo. Además de registrar pulsaciones de teclas escritas en cualquier entrada campo, los scripts cargan otro código que hace que los visitantes del sitio se ejecuten JavaScript de Coinhive que utiliza las computadoras de los visitantes para extraer el criptomoneda Monero sin advertencia.

    La publicación de Sucuri no dice explícitamente cómo se están obteniendo los sitios infectado. Con toda probabilidad, los atacantes están explotando la seguridad. debilidades resultantes del uso de software desactualizado.

    “Si bien estos nuevos ataques aún no parecen ser tan masivos como la campaña original de soluciones Cloudflare [.], la tasa de reinfección muestra que todavía hay muchos sitios que no han funcionado correctamente protegerse después de la infección original “, escribió Sinegubko. “Es posible que algunos de estos sitios web ni siquiera hayan notado el infección original “.

    Las personas que desean limpiar sitios infectados deben seguir estos pasos. Es crítico que los operadores del sitio cambien todo el sitio las contraseñas ya que los scripts dan acceso a los atacantes a todos los viejos ones.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: