حدود 5500 سایت اینترنتی که از سیستم مدیریت محتوا Wordpress استفاده می کنند، توسط یک Script مخرب آلوده شده اند که در اولین بررسی های صورت گرفته مشخص شده است که این اسکریپت از دامنه cloudflare.solutions بارگزاری می شود و اولین اقدام آن، ذخیره کلیدهای تایپ شده در صفحات مهمی همچون صفحه login در Wordpress CMS می باشد. این اسکریپت مخرب داده ها را برای سرور دامنه فوق ارسال می کند و البته کاملا مشخص می باشد که این دامنه هیچ ارتباطی با CDN معروف CloudFlare ندارد.
به علت اینکه این اسکریپت هم در frontend و هم در backend سایت قربانی بارگزاری می شود، توانایی دزدیدن username و password کاربران مدیر، هنگام login کردن در admin panel را دارا می باشد.
این اسکریپت هنگامی خطرناک می شود که اجازه ی اجرا در frontend سایت قربانی را داشته باشد. چونکه در بسیاری از سایت های Wordpress، تنها جایی که می توان اطلاعات کاربر را دزدید بخش comment می باشد و همچنین تنظیمات به گونه ای است که کاربران می توانند comment هایی در پایان مطالب درج کرده و آنها را ببینند، توسط این گونه اسکریپت های مخرب، نفوذگران می توانند اطلاعات حساس کاربران عادی را نیز مورد سرقت قرار دهند.
در بسیاری از این گونه سایتها، به علت اینکه نفوذگر موفق شده است اسکریپت مخرب خود را در فایلهای اصلی CMS وردپرس همچون functions.php در بخش پوسته ها مخفی کند، امکان صحیح اجرا شدن اسکریپت مخرب بر روی اکثر مرورگرهای قربانیان توسط اجرای دقیق آن در CMS وردپرس ممکن می باشد.
کمپانی Sucuri اعلام کرد که این اسکریپت تازگی نداشته و در گذشت هم 3 اسکریپت مخرب دیگر که از دامنه cloudflare.solutions بارگزاری شده است را شناسایی کرده است. اولین اسکریپت مخرب در ماه April توسط هکرهایی استفاده می شد که موفق به نفوذ در سرور سایت های تبلیغاتی شده بودند و اسکریپت را به صورت مخفیانه در پشت بنرهای تبلیغاتی قرار می دادند. در ماه November، مشخص شد که یک گروه دیگر با استفاده از یک تاکتیک جدید، فایلهای جاوا اسکریپتی جعلی شبیه به ساختار Google Analytics را آماده سازی کرده بودند که در اصل مربوط به یک ساختار miner در مرورگر، به نام Coinhive بوده است که جهت استفاده از منابع سخت افزاری سیستم قربانیان، برای ساخت bitcoin مورد استفاده قرار می گرفته است که این اسکریپت مخرب بر روی بیش از 1833 سایت مشاهده شده بود.
در ادامه، کُد اصلی 2 اسکریپت مخرب را مشاهده می فرمایید که برای عملکرد keylogger آماده شده اند:
محققان امنیت سایبری کمپانی Sucuri اعلام کردند با جستجوی اسکریپت های فوق در فایل function.php در WordPress theme و حذف آن، از سرقت اطلاعات مهم authentication خود به سایت جلوگیری کنند.
- 6