พบ Keylogger ในเว็บไซด์ที่เป็น WordPress ถึง 5,500 เว็บไซด์

  • 691 views
  • 1 minute read
ทาง Sucuri พบการฝัง script เพื่อทำ KeyLogger ใน WordPress เยอะมากถึง 5,500 เว็บไซด์ และบางเว็บไซด์มีแถมการฝัง  cryptocurrency miner อีกด้วย
Script เหล่านั้น มีต้นทางมาจาก”cloudflare.solutions” domain, ซึ่งไม่ได้มีความเกี่ยวข้องใดๆกับ Cloudflare เลย, และทำการ log ทุกการพิมพ์ของ user
ซึ่งตัว script มีการโหลดทั้งใน frontend และ backend, meaning it นั่นหมายความว่ามีการ log usernames และ passwords เมื่อมีการเข้าถึง admin panel ด้วย

โดยเหตุเกิดจากการที่ hackers แฮ็คเข้าไปใน WordPress sites แล้วฝัง malicious script ไว้ใน functions.php,ซึ่งเป็นตัว file standard ที่มีอยู่ใน WordPress themes.

การโจมตีดังกล่าวเริ่มมาตั้งแต่เดือนเมษายนที่ผ่านมา ซึ่ง script มีด้วยกัน 3 แบบนั่นคือ

  1. script สำหรับการแปะ banner ในเว็บไซด์ที่ถูกแฮ็ค
  2. เปลี่ยนไปเป็น fake jQuery และ Google Analytics JavaScript files ซึ่งจริงๆแล้วเป็น Coinhive cryptocurrency miner script
  3. ยังคงเป็น CryptoCurrency Miner เหมือนเดิม เพิ่มเติมคือ keylogger นั่นเอง

ตัวอย่างของ Script

ข้อมูลทั้งหมดจะถูกส่งผ่าน websocket ไปยัง wss://cloudflare[.]solutions:8085/.

Website ที่โดนสามารถแก้ไขได้โดยการเข้าไปแก้ไขไฟล์ function.php แล้วไปลบ add_js_scripts function และ add_action

Source:: BleepingComputer

Admin ผู้ชื่นชอบ แงะ แกะ และเกลา ในเรื่องงาน IT ต่างๆให้ตรงตามที่ลูกค้าต้องการ

You May also Like

Leave a Reply

Security References
IOC for Threat Hunting
IOC for Threat Hunting(PDF Edition)
Bug Bounty Guideline
LINE@Techsuii.com
เพิ่มเพื่อน
Facebook
Recent Posts
Recent Comments
    Archives
    Categories
    Meta