Около 5500 сайтов WordPress заражены вредоносными скриптами, среди которых кейлоггер и браузерный майнер криптовалюты. Проблему обнаружили эксперты по кибербезопасности из компании Sucuri.
Эксперты выяснили что вредоносный скрипт загружается с домена cloudflare.solutions (никак не связан с компанией Cloudflare). Он считывает все данные, которые пользователь вводит в поле формы.
Загружается скрипт как в интерфейсе сайта, так и на сервере, благодаря чему преступники могут похищать логины и пароли при авторизации администратора сайта. В случаях, когда сайты WordPress настроены в качестве интернет-магазинов, мошенники могут красть данные банковских карт и другую конфиденциальную информацию пользователя.
Исследователи поясняют, что хакерам удалось скомпрометировать сайты WordPress и внедрить вредоносный скрипт в файл functions.php – стандартный файл для всех тем WordPress.
Эксперты нашли, как минимум, три разных вредоносных скрипта, размещенных на домене cloudflare.solutions. Один использовался для встраивания рекламных баннеров на взломанные сайты посредством вредоносного файла JavaScript. Второй “снабжал” системы пользователей разновидностью браузерного майнера криптовалюты Coinhive. Третий заражал кейлоггером.
Источник: securitylab.ru
