Исследователи обнаружили более 2000 WordPress-сайтов, зараженных кейлоггерами. Вредоносный код, загружающийся через страницу авторизации, встраивает в сайты скрипт для майнинга криптовалюты.
Структура атаки
В качестве цели злоумышленники выбирают незащищенные ресурсы на WordPress (преимущественно на старых версиях движка или с небезопасными плагинами) и используют эксплойты для внедрения вредоносных вставок в исходный код CMS.
Зловредный код состоит из двух частей. Первая — кейлоггер со стороннего домена, загружаемый в страницу входа администратора. А вторая часть отвечает за фронтенд, внедряя туда Coinhive — популярный браузерный майнер криптовалюты Monero.
Согласно отчету Sucuri — компании, отслеживающей действия мошенников с апреля 2017 года, — на данный момент кейлоггеры злоумышленников хранятся на трех доменах: cdjs.online, cdns.ws и msdns.online. До этого вредоносные программы загружались с cloudflare.solutions.
Что делать?
Эксперты настоятельно рекомендуют всем владельцам WordPress-сайтов проверить движок на наличие обновлений и провести полноценный аудит исходного кода.
Это не первый случай массового заражения сайтов на популярной CMS. Например, в конце декабря 2017 года прошла массированная брутфорс-атака WordPress-ресурсов, поражавшая до 14 млн сайтов в час.
Источник: Bleeping Computer
