От вредоносной кампании кейлоггеров пострадало более 2000 сайтов на WordPress

Исследователи обнаружили более 2000 WordPress-сайтов, зараженных кейлоггерами. Вредоносный код, загружающийся через страницу авторизации, встраивает в сайты скрипт для майнинга криптовалюты.

Структура атаки

В качестве цели злоумышленники выбирают незащищенные ресурсы на WordPress (преимущественно на старых версиях движка или с небезопасными плагинами) и используют эксплойты для внедрения вредоносных вставок в исходный код CMS.

Зловредный код состоит из двух частей. Первая — кейлоггер со стороннего домена, загружаемый в страницу входа администратора. А вторая часть отвечает за фронтенд, внедряя туда Coinhive — популярный браузерный майнер криптовалюты Monero.

Согласно отчету Sucuri — компании, отслеживающей действия мошенников с апреля 2017 года, — на данный момент кейлоггеры злоумышленников хранятся на трех доменах: cdjs.online, cdns.ws и msdns.online. До этого вредоносные программы загружались с cloudflare.solutions.

Что делать?

Эксперты настоятельно рекомендуют всем владельцам WordPress-сайтов проверить движок на наличие обновлений и провести полноценный аудит исходного кода.

Это не первый случай массового заражения сайтов на популярной CMS. Например, в конце декабря 2017 года прошла массированная брутфорс-атака WordPress-ресурсов, поражавшая до 14 млн сайтов в час.