Как сообщили ИБ-эксперты Sucuri, около 5500 WordPress-сайтов инфицировано вредоносным скриптом, который считывает нажатия клавиш пользователя и зачастую загружает браузерный майнер.
Загрузка вредоносного скрипта осуществляется с домена cloudflare.solutions, который не имеет никакого отношения к компании Cloudflare. Скрипт осуществляет считывание всей информации, которая вводится пользователем.
Скрипт загружается и в интерфейсе сайта, и на сервере, что дает хакерам возможность похитить учетные данные при входе в панель администрирования ресурса.
Кроме того, скрипт представляет опасность и для обычных пользователей. Несмотря на то, что в большинстве WordPress-сайтов единственное место, где вредоносная программа может похищать пользовательскую информация, – это поля комментариев, существуют также веб-ресурсы, функционирующие как интернет-магазины. Там хакеры могут украсть информацию о кредитной карте и другие конфиденциальные сведения о пользователе.
По словам специалистов, хакеры взломали WordPress-сайты и внедрили вредоносный скрипт в стандартный файл functions.php, который присутствует во всех темах WordPress.
Эксперты выявили как минимум три различных вредоносных скрипта, размещенные на домене cloudflare.solutions. Один такой скрипт применялся хакерами в апреле этого года для того, чтобы встраивать рекламные баннеры на скомпрометированные сайты с помощью вредоносного JavaScript-файла.
В ноябре эти же злоумышленники поменяли тактику и уже загружали вредоносные скрипты, которые были замаскированы под фальшивые библиотеки jQuery и файлы Google Analytics. В действительности эти скрипты являлись вариацией браузерного майнера Coinhive. К концу прошлого месяца киберкампания затронула 1833 веб-ресурса.
В рамках новой вредоносной кампании наравне с майнером хакеры стали использовать кейлоггер. Как сообщают эксперты, от активности злоумышленников пострадали 5496 сайтов.
