標籤:

5500個 WordPress站點感染Keylogger,可竊取用戶名密碼和信用卡數據

該惡意腳本來源於域名cloudflare.solutions,但是該站點與Cloudflare並沒有隸屬關係,該腳本可以記錄用戶input field的任何輸入。而且,該腳本在站點的前端和後端都會載入,這就意味著可以當登錄到站點的管理面板時,可以記錄用戶名和密碼。

WordPress site站點上的Keylogger

當腳本在前端運行時,也是很危險的。在大多數的wordpress站點,該腳本只能竊取comment域的用戶數據。因為一些wordpress站點被配置成在線商店了,所以攻擊者可以記錄信用卡數據和個人的其他隱私信息。

當wordpress站點出現這樣的情況時,說明該站點被黑了。攻擊者利用各種方式將惡意腳本隱藏在functions.php文件中,因為該文件是wordpress主題中的標準文件,不會引起懷疑。

攻擊從4月發起

這並不是一種新型的攻擊,Sucuri追蹤發現cloudflare.solutions域名上至少有3種不同的惡意腳本。第一個是4月份,攻擊者利用惡意的JS文件在被黑的網站上嵌入廣告。

11月的時候,攻擊者就改變了攻擊的策略,將惡意腳本偽裝成假的jQuery和Google Analytics JS文件,這實際上是Coinhive瀏覽器內的加密貨幣挖礦機。截止11月22日,已經有1833個站點被黑。

檢測到的最近的一次攻擊是,黑客除了保留加密貨幣挖礦機腳本外,還添加了keylogger組件。

根據PublicWWW的數據分析,惡意腳本至少存在於5496個站點中。

專家建議

因為惡意代碼存在於wordpress主題的function.php文件中,所以移除add_js_scripts函數和與add_js_scripts相關的所有語句。

另外,因為惡意軟體有keylogger的功能,所以需要考慮wordpress站點密碼泄露的問題,下一步應該修改wordpress的登錄密碼。y

本文翻譯自:bleepingcomputer.com/ne,如若轉載,請註明原文地址: 4hou.com/info/news/9118 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Metasploit域滲透測試全程實錄(終結篇)
如何利用Windows Defender ATP檢測反射型DLL載入
利用API NtQueryInformationThread和I_QueryTagInformation實現對Windows日誌監控的繞過
國內研究人員發現GMR-2漏洞,可實時解密衛星電話通訊
Appleby 被黑,世界級財富大鱷財務信息泄露

TAG:信息安全 |