Nova ameaça já infeta mais de 2000 sites com WordPress

Se tem um site ou um blog e utiliza a plataforma WordPress tenha muito cuidado. É que a empresa de segurança Sucuri detetou mais de 2000 sites WordPress infectados com malware na semana passada. A ameaça em questão apodera-se das palavras-passe e basicamente de qualquer outra informação que um administrador ou um visitante digite.

O keylogger faz parte de um pacote malicioso que também instala um sistema de mineração de moeda digital que é executado no browser dos visitantes, sem que estes se apercebam. Os dados disponíveis aqui, aqui e aqui pelo site de pesquisa PublicWWW revelou que até ontem, esta ameaça já estava ativa em 2092 páginas.

De acordo com a Sucuri este é o mesmo código malicioso encontrado em quase 5,500 sites com WordPress em dezembro do ano passado. Estas infeções desapareceram após a cloudflare solutions – o site que alojava estes scripts maliciosos – ter sido tirado do ar. Já as novas infeções estão alojadas em três novos sites, msdns.Online, cdns.Ws e cdjs.Online. Nenhum dos sites que está a alojar o código tem qualquer relação com a Cloudflare ou com qualquer outra empresa legítima.

O ataque funciona através da injeção de uma grade variedade de scripts nos sites do WordPress. Os scripts injetados no mês passado incluem:

hxxps: // cdjs.online / lib.js
hxxps: // cdjs.online / lib.js? ver = …
hxxps: // cdns.ws / lib / googleanalytics.js? ver = …
hxxps: // msdns.online / lib / mnngldr.js? ver = …
hxxps: // msdns.online / lib / klldr.js

Os atacantes injetam o script cdjs.online na base de dados do WordPress (tabela wp_posts) ou no ficheiro functions.php do tema, como aconteceu no ataque de dezembro que utilizou o site cloudflare.solutions. Entretanto os scripts cdns.Ws e msdns.online também foram encontrados no ficheiro functions.php do tema. Para além de registar tudo aquilo que é escrito no teclado, os scripts carregam outro código que faz com que os visitantes do site executem o JavaScript da CoinHive que utiliza os computadores das vítimas para produzir a moeda digital Monero.

A publicação da Sucuri não esclarece como os sites ficam infectados. No entanto será seguro afirmarmos que os criminosos devem explorar falhas de segurança resultantes da utilização de software desatualizado.

Se desconfia que o seu WordPress está infectado e o quer limpar pode seguir estes passos.

mm
Bruno Fonseca
Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Mais deste autor

Relacionadas

Publicidadespot_img

Últimos artigos

Atenção! Não atualize a sua PlayStation 4 para a versão 9.0!

A Sony lançou uma nova atualização de firmware para sua velhinha PlayStation 4, no entanto, parece que o novo 'pacote' está a causar alguns...

Pirataria: Depois do IPTV, o alvo está nos serviços de VPN

Como deve saber, o fenómeno do IPTV Pirata continua bem vivo! Especialmente agora que a pandemia teve um grande impacto na maneira como consumimos...

Quer poupar dinheiro num SSD para a PS5? Há alternativas!

Caso não saiba, a PlayStation 5 recebeu recentemente uma atualização de firmware, que abre finalmente a porta à montagem de SSDs NVMe M.2 PCIe...

Não perca nenhuma informação de última hora!

Registe-ne na Newsletter Leak e receba diariamente todas as informações no seu email!