共计 1439 个字符,预计需要花费 4 分钟才能阅读完成。
安全研究人员又发现了超过 2000 个 WordPress 站点,感染了被加载到 WordPress 后端登录页面的键盘记录器,研究人员将这些新发现的感染地点与 2017 年 12 月初发生的类似行动联系起来。
回顾: 2017 年 12 月发生的事件:
在将近 5500 个受感染的 WordPress 网站上发现了键盘记录器
将近 5500 个 WordPress 站点被恶意脚本所感染,这些脚本记录键盘敲击,有时还会使浏览器加载加密的程序。
恶意脚本从 cloudflare.solutions 的域名加载,它与 Cloudflare 没有任何关系,恶意脚本能记录用户在表单字段内输入的任何内容。
该脚本加载在站点的前端和后端,这意味着当登录到站点的管理面板时,它还可以记录用户名和密码。
当左边的脚本在前端运行时,也很危险。在大多数 WordPress 网站上,唯一可以窃取用户数据的地方是评论栏,一些 WordPress 网站被配置为在应用商店上配置,在这些实例中,攻击者可以记录信用卡数据和个人用户详细信息。
这些事件大多发生是因为黑客通过各种手段入侵 WordPress 站点,并将恶意脚本隐藏在函数内,php 是所有 WordPress 主题的标准文件。
攻击很简单。不法分子找到不安全的 WordPress 网站 – 通常运行较老的 WordPress 版本或较旧的主题和插件 – 并利用这些网站的漏洞将恶意代码注入到 CMS 的源代码中。
恶意代码包括两部分。对于管理员登录页面,代码加载托管在第三方域的键盘记录器。对于该网站的前端,骗子使用访问该网站的人员的 CPU 加载 Coinhive 在浏览器自动挖矿、
骗子迁移到新的域名
对于 2017 年末的活动,骗子从 cloudflare.solutions 域名中加载了他们的键盘记录。这些攻击事件影响了近 5,500 个 WordPress 站点,但是在 12 月 8 日当注册服务商封了这些黑客的域名后,这些攻击就停止了。
根据 Sucuri 昨天发布的一份新报告,自 2017 年 4 月以来,该公司一直在跟踪这一活动,现在骗子正在从三个新域名 cdjs.online,cdns.ws 和 msdns.online 加载键盘记录器。
基于经由 publicwww.com 获得的数据,有超过 2000 位点加载从这三个域名
[脚本 1,2,3]
https://publicwww.com/websites/%22cdjs.online%22/
https://publicwww.com/websites/%22cdns.ws%22/
https://publicwww.com/websites/%22msdns.online%22/
华盟君担心,并不是所有的受影响的网站都被收录在 PublicWWW 中,受害者的数量可能会更大。
建议 WordPress 网站所有者检查他们的网站,更新需要更新的东西,并检查是否在他们的登录页面上加载了可疑的脚本。
攻击者从 2017 年 4 月开始活跃
如前所述,这个活动自 2017 年 4 月以来一直在进行,到 2017 年的大部分时间里,黑客正忙于在被黑网站上嵌入横幅广告,并加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的 Coinhive 加密脚本。
直到十二月,这个组织才开始采用更为狡猾的通过键盘记录器收集管理员凭证的做法?
你可能喜欢
WordPress 4.6 远程代码执行漏洞(非插件无需认证,附 Poc, 演示视频)
WordPress 插件 Jetpack 存储型 XSS 漏洞原理分析及复现
WordPress 4.5.1 的远程命令执行 (附 exp)
