Nedavno je skupina sigurnosnih istraživača otkrila više od 2000 WordPress web mjesta zaraženih keyloggerom koji je učitavanje na stranici za prijavu platforme i skripta za šifriranje (rudarstvo kriptovaluta u pregledniku) na njihovom sučelja.
Skupina istraživača sigurnosti otkrila je više od 2000 WordPress web mjesta s keyloggerom koji se učitava na stranici za prijavu platforme i skriptu za šifriranje (vađenje kriptovaluta u pregledniku) na njihovoj sučelja. Prema istraživačima, ta bi brojka mogla biti i veća. Početkom prosinca prošle godine bilo je nešto slično. Stručnjaci ukazuju da bi to moglo biti povezano.
Kao što znamo, WordPress je jedna od najčešće korištenih platformi za upravljanje sadržajem od strane korisnika. Mnoge web stranice su razvijene na ovoj platformi.
Napad je prilično jednostavan. Cyber kriminalci pronalaze nesigurne WordPress web stranice (obično one koje pokreću starije verzije ili starije teme i dodatke) i koriste exploit za te web stranice za umetanje zlonamjernog koda u izvorni kôd.
Zlonamjerni kod uključuje dva dijela. Za administratorsku stranicu za prijavu kôd učitava keylogger hostiran na domeni treće strane. Za sučelje web lokacije, lopovi učitavaju Coinhive i Monero miner u preglednik pomoću CPU-a ljudi koji posjećuju stranicu.
Već smo vidjeli da se rudarstvo Monera jako povećalo i da je to već autentična epidemija te su zbog ove pošasti pogođena mnoga mjesta.
U kampanji s kraja 2017. kriminalci su učitali svoj keylogger s domene "cloudflare.solutions". Ti napadi zahvatili su gotovo 5.500 WordPress stranica, ali zaustavljeni su 8. prosinca kada je matičar uklonio domenu kriminalaca.
Prema novom izvješću, kriminalci sada učitavaju keylogger tri nove domene: cdjs.online, cdns.ws i msdns.online.
Preporučljivo je u tim slučajevima ažurirati WordPress. Zadržavanje najnovijih verzija olakšava nam rješavanje takvih prijetnji. Također je važno osigurati da stranica ne učitava sumnjive skripte.
Kao što je spomenuto, ova kampanja traje od travnja 2017. i većim dijelom 2017. godine. Cyber kriminalci bili su fokusirani umetanjem banner oglasa na piratske web stranice i učitavanjem skripti za šifriranje Coinhive maskirane u lažne jQuery i JavaScript datoteke.
Međutim, prošli mjesec ova je skupina promijenila praksu prikupljanja vjerodajnica administratora putem keyloggera.
U prethodnom članku govorili smo o nekim savjetima kako zaštititi WordPress. Osnovne stvari koje moramo učiniti. Kao što znamo, postoje mnoge prijetnje koje mogu ugroziti pravilno funkcioniranje našeg tima i, u ovom slučaju, naših web stranica.
Imati alate i sigurnosne programe vrlo je važno. Kao keylogger može prikupljati sve naše vjerodajnice i osobne podatke. Sposoban je ukloniti i naša korisnička imena i lozinke koje koristimo za različite usluge kojima pristupamo.
Pa, što mislite o ovome? Jednostavno podijelite sve svoje stavove i razmišljanja u odjeljku za komentare u nastavku.