Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
Исследователи из компании Sucuri выявили атаку по подстановке на незащищенные сайты под управлением WordPress JavaScript-кода с реализацией кейлоггера, перехватывающего пароли и друге вводимые данные, и отправляющего их на серверы злоумышленников, используя протокол WebSocket. В состав устанавливаемого вредоносного кода также входит JavaScript-реализация системы для майнинга криптовалюты, которая запускается в браузерах посетителей пораженных сайтов.
Новый вредоносный код обнаружен на более чем 2000 сайтов и используется внешние хосты msdns.online, cdns.ws и cdjs.online для своей загрузки (с сайтов загружаются скрипты с именами lib.js, googleanalytics.js, mnngldr.js или klldr.js, которые камуфлируются под код jQuery и GoogleAnalytics). До этого в декабре была выявлена похожая атака, которая охватила более 5000 сайтов, но была прекращена после блокирования связанного с ней домена cloudflare.solutions, притворяющегося сервисом компании Сloudflare.
На пораженных системах код для загрузки вердоносных скриптов подставляется в таблицу базы данных WordPress с содержимым страниц (wp_posts), а также в файлы functions.php тем оформления. Предполагается, что для доступа к коду применяется эксплуатация известных уязвимостей в необновленных версиях WordPress или плагинах к данной платформе.
