Кейлоггер обнаружен на более чем 5000 сайтах WordPress

В этом году в ходе расследования было обнаружено много сайтов на WordPress, на которых были обнаружены вредоносные программы для криптовалюты. Кажется, что это вредоносное ПО развилось и стало кейлоггером, который собирает информацию, введенную посетителями во время их посещения этих веб-сайтов. Он уже был обнаружен на более чем 5500 сайтах WordPress.

Кейлоггер обнаружен на более чем 5000 сайтах WordPress

В апреле прошлого года охранная компания Sucuri обнаружила эти 5500 сайтов, которые использовали CMS, зараженные вредоносным ПО, для майнинга криптовалюты. Все более распространенная практика. Хотя, похоже, за эти месяцы эта угроза заметно изменилась.

Кейлоггер в WordPress

Изначально я использовал файл WordPress functions.php для отправки запросов на поддельный адрес Cloudflare. Таким образом, вы можете установить WebSocket благодаря библиотеке. Но все это развивалось с течением времени. Похоже, на данный момент майнинг криптовалюты остановлен. Теперь эта вредоносная программа превратилась в кейлоггер. Таким образом, все места в Интернете для ввода текста изменились.

Они получают информацию от пользователей и способны похищать учетные данные для доступа к профилям пользователей веб-службы и в WordPress. Таким образом, управление CMS может быть скомпрометировано. Пользователям рекомендуется сменить пароль как можно скорее, чтобы избежать возможных проблем.

Для тех пользователей, чей веб-сайт WordPress затронут, решением является поиск файла functions.php. Внутри найдите функцию add_js_scripts и удалите ее напрямую. Затем найдите все операторы, в которых упоминается эта функция, и удалите их тоже. Как только это будет сделано, идеальным вариантом будет изменение паролей или учетных данных.