Se tem um site ou um blog e utiliza a plataforma Wordpress tenha muito cuidado. É que a empresa de segurança Sucuri detetou mais de 2000 sites Wordpress infectados com malware na semana passada. A ameaça em questão apodera-se das palavras-passe e basicamente de qualquer outra informação que um administrador ou um visitante digite.
O keylogger faz parte de um pacote malicioso que também instala um sistema de mineração de moeda digital que é executado no browser dos visitantes, sem que estes se apercebam. Os dados disponíveis aqui, aqui e aqui pelo site de pesquisa PublicWWW revelou que até ontem, esta ameaça já estava ativa em 2092 páginas.
De acordo com a Sucuri este é o mesmo código malicioso encontrado em quase 5,500 sites com WordPress em dezembro do ano passado. Estas infeções desapareceram após a cloudflare solutions – o site que alojava estes scripts maliciosos – ter sido tirado do ar. Já as novas infeções estão alojadas em três novos sites, msdns.Online, cdns.Ws e cdjs.Online. Nenhum dos sites que está a alojar o código tem qualquer relação com a Cloudflare ou com qualquer outra empresa legítima.
O ataque funciona através da injeção de uma grade variedade de scripts nos sites do WordPress. Os scripts injetados no mês passado incluem:
hxxps: // cdjs.online / lib.js
hxxps: // cdjs.online / lib.js? ver = …
hxxps: // cdns.ws / lib / googleanalytics.js? ver = …
hxxps: // msdns.online / lib / mnngldr.js? ver = …
hxxps: // msdns.online / lib / klldr.js
Os atacantes injetam o script cdjs.online na base de dados do WordPress (tabela wp_posts) ou no ficheiro functions.php do tema, como aconteceu no ataque de dezembro que utilizou o site cloudflare.solutions. Entretanto os scripts cdns.Ws e msdns.online também foram encontrados no ficheiro functions.php do tema. Para além de registar tudo aquilo que é escrito no teclado, os scripts carregam outro código que faz com que os visitantes do site executem o JavaScript da CoinHive que utiliza os computadores das vítimas para produzir a moeda digital Monero.
A publicação da Sucuri não esclarece como os sites ficam infectados. No entanto será seguro afirmarmos que os criminosos devem explorar falhas de segurança resultantes da utilização de software desatualizado.
Se desconfia que o seu Wordpress está infectado e o quer limpar pode seguir estes passos.
