Inicio Especiais Nova ameaça já infeta mais de 2000 sites com Wordpress

Nova ameaça já infeta mais de 2000 sites com WordPress

Se tem um site ou um blog e utiliza a plataforma WordPress tenha muito cuidado. É que a empresa de segurança Sucuri detetou mais de 2000 sites WordPress infectados com malware na semana passada. A ameaça em questão apodera-se das palavras-passe e basicamente de qualquer outra informação que um administrador ou um visitante digite.

O keylogger faz parte de um pacote malicioso que também instala um sistema de mineração de moeda digital que é executado no browser dos visitantes, sem que estes se apercebam. Os dados disponíveis aqui, aqui e aqui pelo site de pesquisa PublicWWW revelou que até ontem, esta ameaça já estava ativa em 2092 páginas.

Wordpress

De acordo com a Sucuri este é o mesmo código malicioso encontrado em quase 5,500 sites com WordPress em dezembro do ano passado. Estas infeções desapareceram após a cloudflare solutions – o site que alojava estes scripts maliciosos – ter sido tirado do ar. Já as novas infeções estão alojadas em três novos sites, msdns.Online, cdns.Ws e cdjs.Online. Nenhum dos sites que está a alojar o código tem qualquer relação com a Cloudflare ou com qualquer outra empresa legítima.

O ataque funciona através da injeção de uma grade variedade de scripts nos sites do WordPress. Os scripts injetados no mês passado incluem:

hxxps: // cdjs.online / lib.js
hxxps: // cdjs.online / lib.js? ver = …
hxxps: // cdns.ws / lib / googleanalytics.js? ver = …
hxxps: // msdns.online / lib / mnngldr.js? ver = …
hxxps: // msdns.online / lib / klldr.js

Os atacantes injetam o script cdjs.online na base de dados do WordPress (tabela wp_posts) ou no ficheiro functions.php do tema, como aconteceu no ataque de dezembro que utilizou o site cloudflare.solutions. Entretanto os scripts cdns.Ws e msdns.online também foram encontrados no ficheiro functions.php do tema. Para além de registar tudo aquilo que é escrito no teclado, os scripts carregam outro código que faz com que os visitantes do site executem o JavaScript da CoinHive que utiliza os computadores das vítimas para produzir a moeda digital Monero.

A publicação da Sucuri não esclarece como os sites ficam infectados. No entanto será seguro afirmarmos que os criminosos devem explorar falhas de segurança resultantes da utilização de software desatualizado.

Se desconfia que o seu WordPress está infectado e o quer limpar pode seguir estes passos. Gosta da Leak? Contamos consigo! Siga-nos no Google Notícias. Clique aqui e depois em Seguir.

Quer receber notificações gratuitas no seu smartphone ou computador sempre que lançamos um novo artigo? Clique aqui.

Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.

mm
Bruno Fonseca
Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Leia também

(PS5) Jogo físico ou Digital? O que ocupa mais espaço no SSD?

Como deve saber, a Sony decidiu fazer uma grande aposta no mundo Digital com a sua PlayStation 5 de 399€, uma consola que consegue...

Vamos ter mais stock de consolas PlayStation 5 hoje!

A primeira fase de pré-encomendas da nova PlayStation 5 foi uma autêntica confusão, com o stock a voar das prateleiras virtuais, e claro, com...

Ridículo? NVIDIA pediu desculpa antes da chegada das RTX 3090

Isto começa a não fazer sentido nenhum... Afinal de contas, depois do 'fail' do lançamento das RTX 3080, que esgotaram em menos de 10...

(Descontos) Compre o Windows 10 Pro por menos de 12,62€!

Compre o Windows 10 Pro por menos de 12,62€! - Num mundo cada vez mais digital, é sempre importante ter em conta as ofertas...

Galaxy S20 FE vs Galaxy S20: Qual é a grande diferença?

Como deve saber, temos um novo Galaxy S20 no mundo dos smartphones! Estamos a falar do Galaxy S20 FE (Fan Edition), um aparelho que...