کمپین آلوده ی keylogger بیش از 2000 سایت ورد پرس را هدف قرار داده است

محققان امنیتی بیش از دو هزار سایت مبنی بر زبان وردپرس را کشف کرده اند که توسط یک keylogger در پس زمینه ی صفحه ی ورود کاربری بارگزاری شده است. همچنین یک اسکریپت آلوده ی دیگر نیز در این صفحه وجود دارد.


محققان این آلودگی اخیر سایت ها را به یک پویش مرتبط در دسامبر 2017 ارتباط دادند.
حمله بسیار ساده است. این مجرمان سایت های ورد پرس نا امن و به خصوص نسخه های قدیمی را پیدا کرده و از طریق یک اکسپلویت (بهره جو) اقدام تزریق کد های آلوده به کد های منبع CMS وب سایت ها میکند.

کد های آلوده شامل دو قسمت میشوند. برای صفحه ی ورود کاربری ادمین، کد یک Keylogger را که بر روی یک دامنه وجود دارد بارگذاری میکند. همچنین برای بخش frontend سایت، کلاهبرداران اقدام به عمل ماینینگ از طریق پردازنده های بازدیدکنندگان میکنند.

کلاهبرداران به دامنه های جدید تر مهاجرت میکنند

در اواخر 2017، مهاجمین keylogger های خود را از دامنه cloudeflare.solutions  بارگذاری کرده اند. این حملات تقریبا بالغ بر 5.500 سایت ورد پرس را تحت تاثیر قرار دادند اما در تاریخ 8 دسامبر این حملات متوقف شدند.

بر اساس یک گزارش جدید که چندی پیش عرضه شد. کلاهبرداران اکنون در حال بارگذاری فایل های آلوده از سه دامنه ی: cdjs.online، cdns.ws و msdns.online. میباشند.

بر اساس گزارشات تکمیلی، اکنون بیش از دو هزار سایت از این سه دامنه ی آلوده اسکریپت بارگذاری میکنند.

توصیه میشود که دارندگان وب سایت های ورد پرس، دامنه های خود را چک و بررسی نمایند. هرگونه به روز رسانی را انجام دهند و در صورت وجود اسکریپت های آلوده که در صفحه ی کاربری این مسئله را پیگیری کنند.

مهاجمین از آوریل 2017 فعالیت دارند

همانطور که قبلا اشاره کرده بودیم. این کمپین از اوریل 2017 پیش میرود و در بیشتر این زمان، کلاهبرداران مشغول درج بنر های تبلیغاتی در سایت های هک شده و اسکریپت های آلوده ی جاوا بوده اند.

تنها در ماه دسامبر بود که این گروه وارد مسیری غافلگیر کننده جهت جمع آوری اطلاعات کاربری ادمین از طریق کیلاگر ها بودند.

منبع: www.bleepingcomputer.com