5500個 WordPress站點感染Keylogger,可竊取用戶名密碼和信用卡數據
該惡意腳本來源於域名cloudflare.solutions,但是該站點與Cloudflare並沒有隸屬關係,該腳本可以記錄用戶input field的任何輸入。而且,該腳本在站點的前端和後端都會載入,這就意味著可以當登錄到站點的管理面板時,可以記錄用戶名和密碼。
當腳本在前端運行時,也是很危險的。在大多數的wordpress站點,該腳本只能竊取comment域的用戶數據。因為一些wordpress站點被配置成在線商店了,所以攻擊者可以記錄信用卡數據和個人的其他隱私信息。
當wordpress站點出現這樣的情況時,說明該站點被黑了。攻擊者利用各種方式將惡意腳本隱藏在functions.php文件中,因為該文件是wordpress主題中的標準文件,不會引起懷疑。
攻擊從4月發起
這並不是一種新型的攻擊,Sucuri追蹤發現cloudflare.solutions域名上至少有3種不同的惡意腳本。第一個是4月份,攻擊者利用惡意的JS文件在被黑的網站上嵌入廣告。
11月的時候,攻擊者就改變了攻擊的策略,將惡意腳本偽裝成假的jQuery和Google Analytics JS文件,這實際上是Coinhive瀏覽器內的加密貨幣挖礦機。截止11月22日,已經有1833個站點被黑。
檢測到的最近的一次攻擊是,黑客除了保留加密貨幣挖礦機腳本外,還添加了keylogger組件。
根據PublicWWW的數據分析,惡意腳本至少存在於5496個站點中。
專家建議
因為惡意代碼存在於wordpress主題的function.php文件中,所以移除add_js_scripts函數和與add_js_scripts相關的所有語句。
另外,因為惡意軟體有keylogger的功能,所以需要考慮wordpress站點密碼泄露的問題,下一步應該修改wordpress的登錄密碼。y
本文翻譯自:https://www.bleepingcomputer.com/news/security/keylogger-found-on-nearly-5-500-infected-wordpress-sites/,如若轉載,請註明原文地址: http://www.4hou.com/info/news/9118.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※Metasploit域滲透測試全程實錄(終結篇)
※如何利用Windows Defender ATP檢測反射型DLL載入
※利用API NtQueryInformationThread和I_QueryTagInformation實現對Windows日誌監控的繞過
※國內研究人員發現GMR-2漏洞,可實時解密衛星電話通訊
※Appleby 被黑,世界級財富大鱷財務信息泄露
TAG:信息安全 |