Keylogger descoberto em mais de 5.000 sites wordpress

Este ano, uma investigação encontrou muitos sites WordPress que apresentavam malware de mineração de criptomoedas. Parece que esse malware evoluiu e se tornou um keylogger que coleta informações inseridas pelos visitantes durante suas visitas a esses sites. Já foi detectado em mais de 5.500 sites WordPress.

Keylogger descoberto em mais de 5.000 sites WordPress

Em abril passado, a empresa de segurança Sucuri descobriu esses 5.500 sites que usavam CMS infectados com malware para mineração de criptomoedas. Uma prática cada vez mais comum. Embora, ao longo dos meses, essa ameaça tenha mudado visivelmente.

Keylogger no WordPress

Inicialmente, usei o arquivo functions.php do WordPress para fazer solicitações contra um endereço falso do Cloudflare. Então você pode estabelecer um WebSocket graças a uma biblioteca. Mas tudo isso evoluiu com o tempo. Parece que, no momento, a mineração de criptomoedas parou. Agora, esse malware se transformou em um keylogger. Portanto, todos os espaços na web para inserir texto foram alterados.

Eles estão obtendo as informações dos usuários e são capazes de roubar as credenciais de acesso aos perfis de usuário do serviço web e no WordPress. Portanto, o gerenciamento do CMS pode ser comprometido. Recomenda-se que os usuários alterem sua senha o mais rápido possível para evitar possíveis problemas.

Para os usuários cujo site WordPress foi afetado, a solução é procurar o arquivo functions.php. Dentro dela, encontre a função add_js_scripts e exclua-a diretamente. Em seguida, encontre todas as instruções nas quais essa função é mencionada e exclua-as também. Feito isso, o ideal seria alterar as senhas ou acessar credenciais.