Výskumníci z oblasti bezpečnosti objavili, že viac ako 2000 webových lokalít, ktoré využívajú obľúbený redakčný systém WordPress, boli napadnuté škodlivým softvérom. Ten získaval citlivé údaje o používateľoch a ťažil kryptomeny na pozadí.

Na túto hrozbu upozornila spoločnosť Sucuri na svojom blogu. Podobný problém bol pritom aj v decembri minulého roku, keď bolo infikovaných viac ako 5500 WordPress stránok. Tieto útoky však boli zastavené už 8. decembra, keď bola zrušená doména cloudflare.solutions, odkiaľ škodlivý script pochádzal.

Využívajú nezabezpečené stránky

Útočníci sa zameriavajú hlavne na nezabezpečené stránky, ktoré využívajú staršie verzie WordPressu, prípadne staršie témy a pluginy. Vďaka tomu môžu upravovať zdrojový kód a vložiť doň škodlivý skript. Ten obsahuje dve časti. Prvý z nich je keylogger, vložený v backende, ktorý sa načítava z domén cdjs.online, cdns.ws a msdns.online. Vďaka tomuto skriptu, majú útočníci prístup k prihlasovacím údajom a ďalším citlivým údajom, ktoré používateľ na stránke vyplní (napr. údaje o platobnej karte).

Zobraziť celú galériu (1)

Sucuri - implementácia minera do zdrojového kódu

Druhým škodlivým skriptom je Coinhive, vložený do frontendu, ktorý na stránkach ťaží kryptomenu Monero. Využíva k tomu výkon procesoru používateľov, čo je zároveň aj signálom, že niečo nie je v poriadku. Na základe údajov prostredníctvom služby PublicWWW, existuje viac ako 2000 lokalít, ktoré boli napadnuté. Predpokladá sa však, že ich môže byť oveľa viac, nakoľko nie všetky stránky sú indexované v PublicWWW.

Nenechaj si ujsť!
Aj cez smartfón ťa môžu jednoducho sledovať

Všetkým správcom webových stránok sa preto odporúča ich stránky skontrolovať a mať všetko aktualizované na najnovšiu verziu. Odporúča sa takisto overiť, či sa na stránke nenačítavajú podozrivé skripty. Podrobný návod, ako na to, zverejnila spoločnosť Sucuri na svojej stránke, kde nájdeš aj užitočný plugin, ktorý ti s identifikáciou hrozieb pomôže.