بیش از 5500 سایت وردپرس به یک Keylogger آلوده شده اند!

هکر ها قصد دارند اطلاعات کاربران وردپرس را سرقت کنند

کاربران به طور گسترده از وردپرس برای ایجاد وب سایت ها یا وبلاگ های شخصی استفاده می کنند. از این رو هکرها می توانند اطلاعات ارزشمندی مانند نام ورود به سیستم، گذرواژه، آدرس ایمیل و غیره را از خیل عظیم کاربران سرقت کنند. از آن جا که برخی از شرکت ها هنوز هم از وردپرس برای راه اندازی فروشگاه آنلاین خود استفاده می کنند مجرمان با استفاده از یک keylogger، به راحتی می توانند اطلاعات کارت اعتباری یا کارت بدهی مشتریان را سرقت کنند.

 

این اسکریپت مخرب بر روی Back-end و Front-End وردپرس بارگذاری می شود و در هنگام ورود مدیر به پنل کاربری نام کاربری و رمز عبور او را سرقت می کند. کد های کشف شده که برای چسباندن keylogger استفاده شده است عبارتند از:

  1. < script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js’ >< /script >;

 

  1. < script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js’ >< /script >.

 

به گفته دنیس سینگوبکو، تحلیلگر ارشد بد افزار ها در Sucuri، این اسکریپت در فایل functions.php قرار دارد که در همه قالب های وردپرس استفاده می شود. مخفی شدن این کد در یک فایل قانونی، تشخیص و پیدا کردن keylogger را سخت تر کرده است. در حال حاضر، حدود 5496 سایت وردپرس به این keylogger آلوده هستند.

داده های سرقت شده به سرور مجازی ارسال می شوند. محققان سایبری شرکت Sucuri متوجه شدند که توسعه دهندگان این کد مخرب از ماه آوریل فعال بوده و حداقل سه حمله انجام داده اند.

این مجرمان در ماه آوریل از اسکریپت cors.js برای نمایش تبلیغات بنری در وب سایت ها استفاده کردند .  علاوه بر این، هکرهای مذکور، اسکریپت های مخرب دیگری را تحت عنوان فایل های جی کوئری و تحلیلگر گوگل در ماه نوامبر منتشر کرده اند.

توصیه ای برای کاربران ورد پرس:

اولین چیزی که به قربانیان توصیه می شود این است که همه گذرواژه ها و نامهای کاربری خویش را تغییر دهند زیرا ممکن است به خطر افتاده باشد. علاوه بر این، با بانک های خود تماس بگیرند تا از مشکلات احتمالی مطلع شده و از معاملات غیر قانونی از حساب بانکی خود جلوگیری کنند.

همچنین کارشناسان Sucuri پیشنهاد می کنند اقدامات زیر را نیز انجام دهید:

همان طور که قبلا گفته شد، کد مخرب در فایل function.php واقع در قالب وردپرس قرار دارد. شما باید تابع add_js_scripts و تمام جمل واره های add_action که شامل add_js_scripts هستند را حذف کنید.

 

منبع:

https://www.2-spyware.com/more-than-5500-wordpress-sites-are-infected-with-a-keylogger

پاسخی بگذارید