Pesquisadores de segurança da Sucuri descobriram que mais de 2.000 sites do WordPress, popular plataforma de sites e blogs, estão infectados com um keylogger que também age como minerador de criptomoedas com o já conhecido script CoinHive.
Mais de 2.000 sites do WordPress são infectados com keylogger
Os pesquisadores da Sucuri disseram que os criminosos por trás do keylogger são os mesmos que infectaram milhares de sites do WordPress em dezembro passado, já que as duas campanhas utilizam o keylogger/minerador chamado cloudflare[.]solutions.
Descoberto em abril do ano passado, o cloudflare[.]solutions não tem relação nenhuma com a empresa Cloudflare. Ele recebeu seu nome apenas por causa do domínio.
O malware foi atualizado em novembro passado para incluir um keylogger. Ele se passa pela página de login do WordPress para capturar as informações do administrador e pela página inicial do site infectado.
Se o site infectado for de uma plataforma de e-commerce, os criminosos também podem roubar informações como dados de pagamento via cartão de crédito.
O domínio cloudflare[.]solutions foi desativado no mês passado, mas os criminosos por trás da campanha registraram novos domínios para hospedagem dos scrips maliciosos que serão carregados nos sites do WordPress.
Entre os novos domínios registrados estão o cdjs[.]online (registrado em 8 de dezembro de 2017), cdns[.]ws (registrado em 9 de dezembro de 2017) e o msdns[.]online.
Assim como na campanha anterior, o script cdjs[.]online é injetado em um banco de dados do WordPress ou no arquivo functions.php do tema utilizado pelo site. Os scripts cdns[.]ws e msdns[.]online também podem ser injetados no arquivo functions.php do tema.
Mais detalhes técnicos podem ser encontrados no post da Sucuri.
