
We weten allemaal heel goed dat tegenwoordig steeds meer veiligheidsbedreigingen een veelvoorkomend fenomeen zijn geworden. Zoals we al zagen, werd er halverwege het jaar een zeer groot aantal WordPress-websites gevonden met malware die in staat was cryptocurrencies te minen. Nu zijn volgens de laatste rapporten meer dan 5.000 WordPress-websites geplaagd door Keylogger.
laten zien
Keylogger gevonden op bijna 5.500 WordPress-sites
Add-ons zijn altijd een probleem geweest voor websites die met dit CMS worden beheerd. Halverwege het jaar werd een zeer groot aantal WordPress-websites gevonden met malware die in staat was cryptocurrencies te minen. Alles lijkt erop te wijzen dat dit computervirus is gemuteerd en dat het nu een keylogger is geworden die de informatie kan verzamelen die is ingevoerd door de bezoekers van deze geĆÆnfecteerde websites.
Om de bron van deze dreiging te vinden, moeten we terugkeren tot afgelopen april, toen leden van het beveiligingsbedrijf Sucuri meer dan 5.500 websites ontdekten die dit CMS gebruikten, geĆÆnfecteerd met malware die in staat was cryptocurrencies te ontginnen, iets dat steeds vaker voorkomt modieus worden. Sindsdien zijn er veel veranderingen geweest die de dreiging heeft ondergaan, vooral op het niveau van gedrag.
Aanvankelijk gebruikte het het WordPress-bestand Functions.php om verzoeken in te dienen tegen een vals Cloudflare-adres om met behulp van een bibliotheek een WebSocket tot stand te brengen.
Toen de beveiligingsexperts de dreiging voor het eerst analyseerden, was het bericht dat verscheen bij het proberen toegang te krijgen tot het valse Cloudflare-domein: “Deze server maakt deel uit van het Cloudflare-distributienetwerk”. Dit bericht is echter gewijzigd en nu kunt u lezen: “Deze server maakt deel uit van een experimenteel wetenschappelijk machine learning-algoritmenproject”.
Gedrag van deze keylogger dat van invloed is op WordPress-websites
Sinds april zijn de zaken veranderd. Het minen van cryptocurrencies is (of in ieder geval voorlopig) verdwenen. De werking van deze malware is gemuteerd in een vorm van keylogger. Alle spaties om tekst op het web in te voeren zijn gewijzigd. Ze hebben een handler toegevoegd die de ingevoerde informatie naar het adres wss://cloudflare . stuurt[.]oplossingen:8085/. Deze keylogger kan inloggegevens stelen om toegang te krijgen tot de gebruikersprofielen van de webservices zoals WordPress zelf en niet alleen dat zelfs het beheer van het CMS in gevaar komt.
Aangezien veel services met elkaar zijn verbonden, is het zeer waarschijnlijk dat de gebruiker op een gegeven moment accountgegevens heeft ingevoerd op platforms zoals Twitter of Facebook. In dit geval is de noodzaak om het wachtwoord te wijzigen dringend. Anders kunnen de accounts worden gebruikt zonder toestemming van de gebruiker.
Beveiligingsexperts hebben ook ontdekt dat het CoinHive-script is geĆÆntroduceerd om het delven van munten uit te voeren. Het lijkt er echter op dat het op dit moment niet wordt gebruikt.
Ik heb een website die WordPress gebruikt en is getroffen: wat kan ik doen?
Natuurlijk is er een oplossing, al is die niet triviaal. Gebruikers die een getroffen website hebben, moeten in het bestand Functions.php zoeken naar de functie add_js_scripts en deze verwijderen. Vervolgens moeten ze zoeken naar alle zinnen waarin de verwijderde functie wordt genoemd en doorgaan met verwijderen. Anders zal het laden van de CMS-elementen niet correct gebeuren.
Zodra dit proces is voltooid, is het raadzaam om alle toegangsreferenties te wijzigen.
Dus, wat vindt u van deze beveiligingsfout? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.