ทาง Sucuri พบการฝัง script เพื่อทำ KeyLogger ใน WordPress เยอะมากถึง 5,500 เว็บไซด์ และบางเว็บไซด์มีแถมการฝัง  cryptocurrency miner อีกด้วย
Script เหล่านั้น มีต้นทางมาจาก”cloudflare.solutions” domain, ซึ่งไม่ได้มีความเกี่ยวข้องใดๆกับ Cloudflare เลย, และทำการ log ทุกการพิมพ์ของ user
ซึ่งตัว script มีการโหลดทั้งใน frontend และ backend, meaning it นั่นหมายความว่ามีการ log usernames และ passwords เมื่อมีการเข้าถึง admin panel ด้วย

โดยเหตุเกิดจากการที่ hackers แฮ็คเข้าไปใน WordPress sites แล้วฝัง malicious script ไว้ใน functions.php,ซึ่งเป็นตัว file standard ที่มีอยู่ใน WordPress themes.

การโจมตีดังกล่าวเริ่มมาตั้งแต่เดือนเมษายนที่ผ่านมา ซึ่ง script มีด้วยกัน 3 แบบนั่นคือ

  1. script สำหรับการแปะ banner ในเว็บไซด์ที่ถูกแฮ็ค
  2. เปลี่ยนไปเป็น fake jQuery และ Google Analytics JavaScript files ซึ่งจริงๆแล้วเป็น Coinhive cryptocurrency miner script
  3. ยังคงเป็น CryptoCurrency Miner เหมือนเดิม เพิ่มเติมคือ keylogger นั่นเอง

ตัวอย่างของ Script

ข้อมูลทั้งหมดจะถูกส่งผ่าน websocket ไปยัง wss://cloudflare[.]solutions:8085/.

Website ที่โดนสามารถแก้ไขได้โดยการเข้าไปแก้ไขไฟล์ function.php แล้วไปลบ add_js_scripts function และ add_action

Source:: BleepingComputer

Leave a Reply

Your email address will not be published. Required fields are marked *

*
*