بیش از ۲۰۰۰ وبسایت وردپرس با یک اسکریپت مخرب آلوده شدهاند که این اسکریپت میتواند هم کیلاگر و هم استخراجکننده ارز مجازی CoinHive را انتقال دهد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
بیش از ۲۰۰۰ وبسایت وردپرس با یک اسکریپت مخرب آلوده شدهاند که این اسکریپت میتواند هم کیلاگر و هم استخراجکننده ارز مجازی CoinHive را انتقال دهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Sucuri گفتند که این پویش اخیر به عاملان یک پویش در ماه دسامبر سال ۲۰۱۷ میلادی مربوط است که بیش از ۵۵۰۰ وبسایت وردپرس را آلوده کرد. هر دو حادثه از یک بدافزار کیلاگر/ارز مجازی به نام cloudflare[.]solutions استفادهکردهاند. این نام از دامنه استفاده شده برای بهکارگیری اسکریپتهای مخرب در پویش اول برگرفته شدهاست. cloudflare[.]solutions بههیچوجه به شرکت مدیریت شبکه و امنیت Cloudflare مربوط نیست.
پژوهشگر ارشد بدافزار در Sucuri، دِنیس سینگوبکو در هفته جاری در پست وبلاگی خود نوشت: «با اینکه به نظر نمیرسد حملات جدید به گستردگی پویش اصلی cloudflare[.]solutions باشند، اما نرخ آلودهسازی مجدد نشان میدهد که هنوز سایتهای بسیاری وجود دارند که پس از آلودگی اصلی موفق به محافظت از خود نشدهاند.»
از ماه دسامبر، دامنه cloudflare[.]solutions از کار افتادهاست، اما اکنون عاملان تهدیدی که پشت این پویش اصلی هستند دامنههای جدیدی را ثبت کردهاند تا اسکریپتهای مخربی را که در وبسایتهای وردپرس بارگذاری شدهاند، میزبانی کنند.
سینگوبکو نوشت: «مهاجمان در وبسایتهای وردپرس با امنیت ضغیف یا قدیمی از اسکریپتهای تزریق استفاده میکنند. اسکریپت cdjs[.]online یا در یک پایگاه داده وردپرس و یا در پرونده functions.php قالبها تزریق میشود.»
مهاجمان، صفحه ورود مدیر و صفحه عمومی سمت کاربر را هدف قرار میدهند. HTML مبهمسازی شدهاست تا کدهای جاوا اسکریپتی مانند googleanalytics.js را که اسکریپتهای مخرب start GoogleAnalytics را از دامنههای مهاجم بارگیری میکند، دربرگیرد.
شرکت Sucuri گزارش میدهد که بر اساس نتایج موتور جستوجوی کد منبع PublicWWW، تعداد وبسایتهای آلوده شامل ۱۲۹ وبسایت از دامنه cdns[.]ws و ۱۰۳ وبسایت از دامنه cdjs[.]omline است. بخش عمدهای از دامنههای آلوده به msdns[.]online مربوط هستند، که بیش از هزار مورد آلودگی در آنها گزارش شدهاست. پژوهشگران گفتند که بسیاری از وبسایتهای وردپرس دوباره آلوده شدهاند و اکنون دامنههای جدید فعال هستند.
شرکت Sucuri با فعالیتهای خاص اسکریپتهای مخرب وردپرس غریبه نیست و پژوهشگران، پویشهای قبلی ازجمله پویشهای مربوط به ماه دسامبر و نوامبر و آوریل سال ۲۰۱۷ میلادی را که از دامنه cloudflare[.]solutions استفاده کردهبودند، شناسایی کردهاند.