By | December 8, 2017

מומחי אבטחה Sucuri דיווחו כי יותר מ 5,500 אתרי וורדפרס נדבקו פיסת תוכנה זדונית אשר מסוגל רישום קלט משתמש.

זיהום זה הוא חלק מקמפיין אשר נותחו על ידי המומחים אבטחה בחודש אפריל. לדבריהם, אתרי האינטרנט שבהם נדבקו עם חתיכה של תוכנה זדונית בשם cloudflare.solutions. באותו הזמן, התוכנה הזדונית ארוז cryptominers, עכשיו זה היה מוסיף keyloggers לתערובת.

בזמן הנוכחי, התוכנה הזדונית cloudflare.solutions קיים באתרים 5,496, וזה נראה המספר ממשיכה לגדול.

להיות מוזרק, קבצי ה-script פתרונות [.] ב- Cloudflare מתווספות לתור לאתרי וורדפרס להשתמש function.php של הנושא, והוא תחום ב- CloudFlare מזויף משמש בכתובות ה-Url. לאחר מכן, אחד של כתובות ה-Url טוען עותק של ספרייה ReconnectingWebSocket לגיטימית. לאחר מכן, בדף הראשי של קבוצת המחשבים טוען כי “השרת הוא חלק מכונת מדע ניסויי למידה פרוייקט אלגוריתמים.”

כדי לעקוב אחר האתרים נגוע, טוען קובץ script cors.js אשר משמש שם את Yandex.Metrika (אלטרנטיבה של יאנדקס Google Analytics).

בנוסף, המומחים מצאו שתי כתובות cdnjs.cloudflare.com עם פרמטרים הקסדצימאלי ארוך, עם שניהם השייכים ב- CloudFlare. ובכל זאת, אלה אינם לגיטימיים, אחד מהם אפילו לא קיים – זה קישור מטענים מועברת בצורה של מספרים הקסדצימאליים לאחר סימן השאלה בכתובות ה-Url.

המטרה של ה-script היא לפענח שתוכן המנות ולהזריק את התוצאה לתוך האתרים, דבר המתבטא זדונית keylogger.

“את התסריט הזה מוסיף עוזר לכל שדה על האתרים כדי לשלוח את הערך שלו התוקף (wss: //cloudflare[.]solutions:8085/) כאשר משתמש משאיר את השדה הזה,” אומרים החוקרים Sucuri.

במקרה באתר וורדפרס יש חלק מהפונקציונליות מסחר אלקטרוני, keylogger מאפשר התוקפים לגנוב את פרטי התשלום הטבעה טופס הבדיקה, וכן אישורי כניסה. חוץ מזה, keylogger פתרונות [.] ב- cloudflare יכול להיות מוזרק אל עמודי כניסה גם כן.

בשל העובדה כי קוד זדוני מוסתרת בקובץ function.php של הנושא וורדפרס, הסרת את הפונקציה add_js_scripts, הסעיפים add_action אשר מזכיר את add_js_scripts צריך למנוע את ההתקפה.

“בהתחשב keylogger הפונקציונליות של תוכנה זדונית זו, עליך לשקול כל הסיסמאות וורדפרס אז השלב ההכרחי הבא של הניקוי משתנה את הסיסמאות (למעשה היא מומלצת מאוד לאחר כל אתר האק),” הקבוצה Sucuri מדינות.

בהתחשב בעובדה ש-cloudflare.solutions הזה מחדיר coinhive cryptocurrency כורה סקריפטים לאתרים, שמקור מאוד לא מומלץ לבדוק את אתרי האינטרנט שלהם עבור זיהומים אחרים.

Leave a Reply

Your email address will not be published. Required fields are marked *