Кейлоггер обнаружен на 5500 сайтов, работающих под управлением WordPress - «Новости»
Слухи: многострадальный ремейк Star Wars: Knights of the Old Republic выйдет не раньше 2028 года - «Новости сети»
Слухи: многострадальный ремейк Star Wars: Knights of the Old Republic выйдет не раньше 2028 года - «Новости сети»
VK внезапно объявила о продаже магазина приложений RuStore - «Новости сети»
VK внезапно объявила о продаже магазина приложений RuStore - «Новости сети»
OnePlus начал спешно сворачивать деятельность в США и Европе, а Realme уйдёт из Китая - «Новости сети»
OnePlus начал спешно сворачивать деятельность в США и Европе, а Realme уйдёт из Китая - «Новости сети»
Спутниковая антенна Starlink V5 оказалась легче и компактнее модели предыдущего поколения - «Новости сети»
Спутниковая антенна Starlink V5 оказалась легче и компактнее модели предыдущего поколения - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
Эмуляторы PS5 вышли на новый уровень: KytyPS5 научился запускать 3D-игры - «Новости сети»
Эмуляторы PS5 вышли на новый уровень: KytyPS5 научился запускать 3D-игры - «Новости сети»
Microsoft начала тесты «очищенного» поиска в Windows 11, результаты которого не должны раздражать - «Новости сети»
Microsoft начала тесты «очищенного» поиска в Windows 11, результаты которого не должны раздражать - «Новости сети»
Россияне массово жалуются на проблемы с доступом к Google, GitHub и сайту Apple - «Новости сети»
Россияне массово жалуются на проблемы с доступом к Google, GitHub и сайту Apple - «Новости сети»
Игровые клавиатуры HyperX — как периферия влияет на результат в играх
Игровые клавиатуры HyperX — как периферия влияет на результат в играх
В результате борьбы с контрабандой ИИ-чипов в Китай компания Nvidia вдвое сократила список доверенных азиатских клиентов - «Новости сети»
В результате борьбы с контрабандой ИИ-чипов в Китай компания Nvidia вдвое сократила список доверенных азиатских клиентов - «Новости сети»
Новости мира Интернет » Новости » Кейлоггер обнаружен на 5500 сайтов, работающих под управлением WordPress - «Новости»

Аналитики компании Sucuri уже довольно давно наблюдают за вредоносной кампанией, корни которой уходят к домену cloudflare.solutions. Разумеется, этот домен не имеет никакого отношения к настоящей компании Cloudflare, и с него распространяются вредоносные скрипты, которые работают как кейлоггер и воруют все данные, которые пользователи заносят в различные формы. Также скрипты иногда подгружают на зараженные сайты криптовалютный майнер.


Впервые аналитики Sucuri заметили данную кампанию в апреле 2017 года. Тогда вредоносный jаvascript загружался на взломанные сайты в составе рекламных баннеров. Второй инцидент произошел совсем недавно, в ноябре 2017 года. Та же хакерская группировка немного сменила тактику: вредоносные скрипты стали маскироваться под файлы jQuery и Google Analytics jаvascript, хотя на самом деле представляли собой браузерный майнер Coinhive. По данным аналитиков, кампания распространилась на 1833 сайта.


Теперь исследователи сообщили, что тактика злоумышленников вновь изменилась. Скрипты по-прежнему занимаются майнингом за счет посетителей взломанных сайтов, однако теперь к этому добавилась функциональность кейлоггера.


В первую очередь злоумышленников интересуют сайты под управлением WordPress, именно они являются основной мишенью группы. Преступники компрометируют такие ресурсы самыми разными способами, а затем прячут свои скрипты, к примеру, в файле functions.php.


Хуже того, специалисты отмечают, что вредоносные скрипты загружаются как на фронтэнде, так и на бэкэнде сайтов, то есть, в числе прочего, они способны перехватывать логины и пароли, которые пользователи вводят во время входа в админку. На фронтэнде скрипты чаще всего похищают информацию из формы, предназначенной для комментариев. Также не стоит забывать о том, что на базе WordPress работают множество интернет-магазинов, то есть под угрозой оказываются номера банковских карт и другие личные данные пользователей.


По данным PublicWWW, вредоносные скрипты неизвестной группировки в настоящее время присутствуют на 5496 ресурсах (из 200 000 самых популярных сайтов по версии Alexa). Скрипт, обладающий функциональностью кейлоггера, выглядит следующим образом:





То есть все украденные данные передаются на wss://cloudflare[.]solutions:8085/.


Источник новостиgoogle.com

Аналитики компании Sucuri уже довольно давно наблюдают за вредоносной кампанией, корни которой уходят к домену cloudflare.solutions. Разумеется, этот домен не имеет никакого отношения к настоящей компании Cloudflare, и с него распространяются вредоносные скрипты, которые работают как кейлоггер и воруют все данные, которые пользователи заносят в различные формы. Также скрипты иногда подгружают на зараженные сайты криптовалютный майнер. Впервые аналитики Sucuri заметили данную кампанию в апреле 2017 года. Тогда вредоносный jаvascript загружался на взломанные сайты в составе рекламных баннеров. Второй инцидент произошел совсем недавно, в ноябре 2017 года. Та же хакерская группировка немного сменила тактику: вредоносные скрипты стали маскироваться под файлы jQuery и Google Analytics jаvascript, хотя на самом деле представляли собой браузерный майнер Coinhive. По данным аналитиков, кампания распространилась на 1833 сайта. Теперь исследователи сообщили, что тактика злоумышленников вновь изменилась. Скрипты по-прежнему занимаются майнингом за счет посетителей взломанных сайтов, однако теперь к этому добавилась функциональность кейлоггера. В первую очередь злоумышленников интересуют сайты под управлением WordPress, именно они являются основной мишенью группы. Преступники компрометируют такие ресурсы самыми разными способами, а затем прячут свои скрипты, к примеру, в файле functions.php. Хуже того, специалисты отмечают, что вредоносные скрипты загружаются как на фронтэнде, так и на бэкэнде сайтов, то есть, в числе прочего, они способны перехватывать логины и пароли, которые пользователи вводят во время входа в админку. На фронтэнде скрипты чаще всего похищают информацию из формы, предназначенной для комментариев. Также не стоит забывать о том, что на базе WordPress работают множество интернет-магазинов, то есть под угрозой оказываются номера банковских карт и другие личные данные пользователей. По данным PublicWWW, вредоносные скрипты неизвестной группировки в настоящее время присутствуют на 5496 ресурсах (из 200 000 самых популярных сайтов по версии Alexa). Скрипт, обладающий функциональностью кейлоггера, выглядит следующим образом: То есть все украденные данные передаются на wss://cloudflare_

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Смотрите также

А что там на главной? )))



Комментарии )))