Milhares de sites WordPress foram infectados com um keylogger

Milhares de sites WordPress foram infectados com um keylogger

Milhares de sites WordPress foram infectados com um keylogger

Rafael Nicácio junho 9, 2021 Tecnologia

Uma equipe de pesquisadores da empresa de segurança Sucuri Security descobriu que mais de 2.000 sites da plataforma WordPress estão infectados com um script malicioso. O script pode injetar no navegador da vítima um keylogger para roubar senhas e dados privados, ou o malware CoinHive para usar os recursos do equipamento do usuário clandestinamente para minerar criptografias – a exemplo do Bitcoin.

De acordo com os analistas do Sucuri, é um malware chamado Cloudflare[.]Solutions que afetou cerca de 5.500 sites WordPress, originalmente identificados em abril passado. O vírus evoluiu desde que foi descoberto e se espalhou para novos domínios. Além disso, “a taxa de reinfecção mostra que existem muitos sites que não foram adequadamente protegidos após a infecção original”, como Denis Sinegubko explica em uma publicação no blog da empresa de segurança.

O Cloudflare[.]Solutions foi eliminado em dezembro passado após a publicação do último relatório do Sucuri, mas a campanha não terminou. Poucos dias depois, os hackers registraram vários novos domínios para continuar a atuar, incluindo cdjs[.]online, que de acordo com o mecanismo de busca por código fonte PubliccWWW, atualmente infecta 146 páginas da Web; cdns [.]ws, que afeta 145 sites ; e, finalmente, msdns[.]online, que já infectou mais de 1.800 portais, sendo a maioria deles reinfecções de sites previamente comprometidos. Além disso, eles acreditam que uma boa parte das páginas afetadas ainda não foram indexadas, então pode haver muito mais afetados.

Para perpetrar o ataque, os cibercriminosos ingerem scripts maliciosos em sites do WordPress com segurança fraca ou obsoleta. Por exemplo, o script cdjs[.]online é injetado em um banco de dados WordPress ou no arquivo functions.php do tema. Uma vez que uma web for infectada, o script envia os dados que os usuários inserem em todos os formulários, incluindo o login, e usa os recursos do computador da vítima para minerar criptomoedas.

De acordo com os pesquisadores que detectaram a campanha, para limpar um site do WordPress que foi comprometido, é necessário remover o código malicioso nas funções-php do tema, vasculhar a tabela wp_posts para detectar possíveis injeções, alterar as senhas do WordPress e atualizar todo o software do servidor.

Caso você tenha um site e não saiba como gerenciar a segurança do mesmo, opte por um curso de wordpress para não ficar vulnerável a este tipo de ataque.

Outros artigos