Meer dan 2000 WordPress-websites geïnfecteerd met een keylogger

Meer dan 2000 WordPress-websites geïnfecteerd met een keylogger

Onlangs heeft een groep beveiligingsonderzoekers meer dan 2.000 WordPress-sites ontdekt die zijn geïnfecteerd met een keylogger die wordt geladen op de inlogpagina van het platform en een coderingsscript (cryptocurrency-mining in de browser) op hun interfaces.

Meer dan 2000 WordPress-websites geïnfecteerd met een keylogger

Een groep beveiligingsonderzoekers heeft meer dan 2.000 WordPress-sites ontdekt met een keylogger die wordt geladen op de inlogpagina van het platform en een versleutelingsscript (cryptocurrency-mining in de browser) op hun interfaces. Dit cijfer zou volgens de onderzoekers nog hoger kunnen zijn. Begin december vorig jaar was er iets soortgelijks. Experts geven aan dat het hiermee te maken kan hebben.

Een keylogger is van invloed op WordPress-sites

Zoals we weten, is WordPress een van de meest gebruikte platforms voor contentbeheer door gebruikers. Op dit platform worden veel websites ontwikkeld.

De aanval is vrij eenvoudig. Cybercriminelen vinden onveilige WordPress-sites (meestal sites met oudere versies of oudere thema’s en plug-ins) en gebruiken exploits voor die sites om kwaadaardige code in de broncode in te voegen.

De kwaadaardige code bestaat uit twee delen. Voor de beheerdersaanmeldingspagina laadt de code een keylogger die wordt gehost in een domein van derden. Voor de interface van de site laden de dieven de Coinhive- en Monero-mijnwerker in de browser met behulp van de CPU’s van de mensen die de site bezoeken.

We hebben al gezien dat de mijnbouw van Monero enorm is toegenomen en het is nu al een authentieke epidemie en door deze plaag zijn veel sites getroffen.

In de campagne van eind 2017 laadden de criminelen hun keylogger vanuit het domein “cloudflare.solutions”. Die aanvallen troffen bijna 5.500 WordPress-sites, maar werden op 8 december gestopt toen de registrar het domein van de criminelen verwijderde.

Drie nieuwe domeinen

Volgens een nieuw rapport laden de criminelen nu de keylogger van drie nieuwe domeinen: cdjs.online, cdns.ws en msdns.online.

Het aanbevolen in deze gevallen is om WordPress bij te werken. Door de nieuwste versies te behouden, kunnen we gemakkelijker omgaan met dit soort bedreigingen. Het is ook belangrijk om ervoor te zorgen dat de pagina geen verdachte scripts laadt.

Zoals vermeld, loopt deze campagne sinds april 2017 en voor het grootste deel van 2017. Cybercriminelen waren gericht door banneradvertenties op de illegale sites te plaatsen en Coinhive-coderingsscripts te laden vermomd als nep-jQuery- en JavaScript-bestanden.

Vorige maand veranderde deze groep echter de praktijk van het verzamelen van beheerdersreferenties via keylogger.

Tips om de veiligheid te verbeteren

In een vorig artikel hebben we het gehad over enkele tips om WordPress veilig te houden. Basisdingen die we moeten doen. Zoals we weten, zijn er veel bedreigingen die de goede werking van ons team en, in dit geval, onze websites in gevaar kunnen brengen.

Het hebben van tools en beveiligingsprogramma’s is erg belangrijk. Als keylogger kunnen al onze inloggegevens en persoonlijke gegevens worden verzameld. Het is in staat om zowel onze gebruikersnamen als de wachtwoorden te verwijderen die we gebruiken voor de verschillende services waartoe we toegang hebben.

Dus, wat vind je hiervan? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.

Nieuwste artikelen

Gerelateerde artikelen