Nova ameaça já infeta mais de 2000 sites com WordPress

Se tem um site ou um blog e utiliza a plataforma WordPress tenha muito cuidado. É que a empresa de segurança Sucuri detetou mais de 2000 sites WordPress infectados com malware na semana passada. A ameaça em questão apodera-se das palavras-passe e basicamente de qualquer outra informação que um administrador ou um visitante digite.

O keylogger faz parte de um pacote malicioso que também instala um sistema de mineração de moeda digital que é executado no browser dos visitantes, sem que estes se apercebam. Os dados disponíveis aqui, aqui e aqui pelo site de pesquisa PublicWWW revelou que até ontem, esta ameaça já estava ativa em 2092 páginas.

Wordpress

De acordo com a Sucuri este é o mesmo código malicioso encontrado em quase 5,500 sites com WordPress em dezembro do ano passado. Estas infeções desapareceram após a cloudflare solutions – o site que alojava estes scripts maliciosos – ter sido tirado do ar. Já as novas infeções estão alojadas em três novos sites, msdns.Online, cdns.Ws e cdjs.Online. Nenhum dos sites que está a alojar o código tem qualquer relação com a Cloudflare ou com qualquer outra empresa legítima.

O ataque funciona através da injeção de uma grade variedade de scripts nos sites do WordPress. Os scripts injetados no mês passado incluem:

hxxps: // cdjs.online / lib.js
hxxps: // cdjs.online / lib.js? ver = …
hxxps: // cdns.ws / lib / googleanalytics.js? ver = …
hxxps: // msdns.online / lib / mnngldr.js? ver = …
hxxps: // msdns.online / lib / klldr.js

Os atacantes injetam o script cdjs.online na base de dados do WordPress (tabela wp_posts) ou no ficheiro functions.php do tema, como aconteceu no ataque de dezembro que utilizou o site cloudflare.solutions. Entretanto os scripts cdns.Ws e msdns.online também foram encontrados no ficheiro functions.php do tema. Para além de registar tudo aquilo que é escrito no teclado, os scripts carregam outro código que faz com que os visitantes do site executem o JavaScript da CoinHive que utiliza os computadores das vítimas para produzir a moeda digital Monero.

A publicação da Sucuri não esclarece como os sites ficam infectados. No entanto será seguro afirmarmos que os criminosos devem explorar falhas de segurança resultantes da utilização de software desatualizado.

Se desconfia que o seu WordPress está infectado e o quer limpar pode seguir estes passos.

mm
Bruno Fonseca
Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Mais deste autor

Relacionadas

Publicidadespot_img

Últimos artigos

Pixel Pass: A aposta da Google para conquistar os fãs do iPhone!

A Google está prestes a lançar os seus novos smartphones Pixel, mas ao que tudo indica, uma das grandes novidades não está nos aparelho...

Google Stadia está ainda melhor e com novidades para Android TV

Não podemos dizer que o Google Stadia esteja a ter a maior adesão do mundo. No entanto não percebo muito bem porquê. Funciona realmente...

PS5 Pro: A Sony já está a contratar para a próxima versão da consola

A PlayStation 5 está a ser um sucesso comercial brutal, mesmo tendo em conta as dificuldades de produção que a Sony está a ter,...

Não perca nenhuma informação de última hora!

Registe-ne na Newsletter Leak e receba diariamente todas as informações no seu email!