Исследователи из Sucuri обнаружили, что после ликвидации вредоносной площадки cloudflare[.]solutions, с которой на взломанные сайты WordPress загружался криптомайнер Coinhive, а затем кейлоггер, злоумышленники зарегистрировали три новых доменных имени. По данным PublicWWW, на настоящий момент в результате возобновления вредоносной операции взломщикам удалось заразить еще более 2 тыс. WordPress-сайтов.

Напомним, взломы WordPress и внедрение вредоносного JavaScript в рамках данной кампании Sucuri наблюдает с апреля прошлого года. Вначале такие инъекции в файл functions.php тем WordPress использовались для показа сторонней рекламы, затем — для установки Coinhive, замаскированного под jQuery и Google Analytics. К началу декабря эту полезную нагрузку, закачиваемую все из того же домена cloudflare[.]solutions, сменил кейлоггер.

Стараниями экспертов и компании-регистратора вредоносный сайт был оперативно закрыт, однако злоумышленники, не мешкая, зарегистрировали три новых домена: cdjs[.]online, cdns[.]ws и msdns[.]online. Согласно PublicWWW, на настоящий момент к cdjs[.]online и cdns[.]ws совокупно обратились около 300 разных WordPress-сайтов, к msdns[.]online — более 1,8 тысячи. По данным Sucuri, в большинстве случаев это повторные заражения сайтов, которые были скомпрометированы в прошлом году.

За последний месяц исследователи выявили ряд скриптов, загружаемых из новых вредоносных доменов. Как оказалось, на сей раз авторы этой WordPress-кампании устанавливают на сайты и Coinhive (под видом Google Analytics), и все тот же кейлоггер. Первичный Javascript, внедряемый на сайты, практически не изменился.

Sucuri удалось идентифицировать три сервера, задействованных в текущих атаках. Два из них принадлежат голландским компаниям, третий — американскому хостинг-провайдеру.

Масштаб новой WordPress-кампании, по словам экспертов, более скромен. Большое количество повторных инфекций свидетельствует о том, что многие сайты не получили дополнительной защиты после первоначального заражения. Не исключено, что в некоторых случаях инфекция попросту осталась незамеченной.

Для очистки сайта Sucuri рекомендует удалить вредоносный код из файла functions.php, просканировать таблицу wp_posts на предмет возможного заражения, сменить все пароли WordPress и обновить все серверное ПО, в том числе темы и плагины сторонних разработчиков.

Категории: Вредоносные программы, Главное, Хакеры