Lebih Dari 5000 Situs Wordpress Terinfeksi Keylogger


Tekloggers-WordPress adalah salah satu situs web terpopuler di sistem pengelolaan konten (CMS), dan itu adalah alasan yang cukup bagus bagi peretas untuk menargetkan situs web berbasis WordPress.

Malware Kembali Ditemukan Di CMS Wordpress

Baru-baru ini, periset di situs platform keamanan Sucuri menemukan bahwa 5.500 situs WordPress terinfeksi malware yang pada awalnya diidentifikasi pada bulan April tahun ini sebagai Cloudflare.solutions. Saat itu, malware tersebut memiliki kemampuan cryptomining, dan bahkan malware tersebut  kini sudah dilengkapi dengan keyloggers.

Seperti yang kita tahu ini bukan pertama kalinya Wordpress Terinfeksi Malware atau bahkan ditemukannya karentanan pada CMS tersebut karena bulan lalu Kerentanan yang memanfaatkan Rest Api Pada Wordpress pun terbongkar walaupun kini sudah ada patch nya yaitu dengan mengupdate sistem wordpress ke 4.72

Baca Juga : 1,5 juta situs WordPress di-hack akibat kerentanan Content Injection

Malware ini bekerja sedemikian rupa sehingga dapat mengeksploitasi file functions.php yang digunakan oleh tema WordPress. Ini antrian Cloudflare [.] Solusi skrip dan menggunakan domain CloudFlare palsu di URL yang memuat salinan perpustakaan Sambungan ulang yang sahWebSocket.

Apa yang perubahan signifikan yang terjadi Sejak April

Sebelumnya saat peneliti mengidentifikasi domain palsu; homepage-nya menampilkan pesan "Server ini adalah bagian dari Cloudflare Distribution Network," namun pesan baru tersebut mengklaim bahwa "Server ini adalah bagian dari proyek algoritma pembelajaran sains eksperimental."

Perubahan lain yang diidentifikasi oleh penelitian adalah skrip cors.js. Setelah decoding, tidak ada kode yang jelas mencurigakan seperti gambar banner tersebut di versi sebelumnya. Namun, naskah memuat Yandex.Metrika, alternatif Yandex untuk Google Analytics.

Selanjutnya, Sucuri melaporkan menemukan dua domain CloudFlare palsu, salah satunya berisi parameter heksadesimal panjang. Domain ini mungkin terlihat normali saja, namun salah satu domain tersebut tidak ada sementara yang lain (cdnjs.cloudflare.com) mengirimkan muatan yang merupakan angka heksadesimal setelah tanda tanya di URL. Selain itu, script menurut peneliti decode dan menginjeksi  hasilnya ke dalam halaman web menjadikannya sebagai keylogger.

Lebih dari 5.000 situs WordPress diganggu dengan keylogger
credit Image: Sucuri


Script ini menambahkan handler ke setiap field masukan (wss: // cloudflare [.] Solusi: 8085 /) saat pengguna meninggalkan lapangan itu, tulis periset malware Sucuri Denis Sinegubko.

Apa yang dilakukan Keylogger ini?


Lalu lintas Websocket di halaman login yang terinfeksi
credit Image: Sucuri

Keylogger ini dirancang untuk mencuri kredensial login dari situs WordPress sementara target utamanya adalah platform e-commerce untuk mencuri rincian pembayaran perbankan dan kartu pelanggan. Jika platform mengharuskan pengguna masuk dengan detail media sosial, alamat email pribadi atau data sensitif dan berguna lainnya, keylogger juga akan mencuri dan mengirimkannya ke penyerang.

Jadi menurut saya penyerang sudah memikirkan matang matang untuk membuat eksploit ini bagaimana tidak mereka incaran mereka adalah situs e-commerce atau biasa kita sebut situs jual beli,dan kenapa saya katakan penyerang memikirkan matang - matang itu karena keyloggers ini bukan mencuri user dan password dari korban saja bahkan detail sosial media,alamat email,dan database lainnya pun ikut dicurinya :/.

Malware Cloudflare.solutions juga menyelipkan skrip kripto mining kripto dari CoinHive yang menggunakan daya CPU dari pengunjung untuk menambang koin digital seperti Bitcoin.

Hal Yang Dapat Yang Kalian  Lakukan Sebagai Pengguna Wordpress

Karena kode malware untuk malware ini ada di file function.php dari tema WordPress, pengguna disarankan oleh Suciri untuk "menghapus fungsi add_js_scripts dan semua klausul add_action yang menyebutkan add_js_scripts."

Sangat disarankan agar pemilik situs WordPress harus memeriksa apakah situs mereka terinfeksi malware Cloudflare.solutions dan mengubah semua kredensial proses masuk termasuk nama pengguna dan kata sandi.

Sumber: Sucuri

Disclamer And Support:

Semua artikel dalam Situs kami dilindungi oleh Google DCMA, Jika ada oknum yang copas tanpa seizin admin mohon segera diubah / dilaporkan sebelum blog kalian down.Dukung kami dengan memberikan komentar , Donasi , Ataupun Likes Fanspages kami untuk mendapatkan info menarik lainnya.

DonateFansapgeDiscord

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel

Berlangganan newsletter kami

Notification
Agar Tidak Ketinggalan Postingan / Artikel Terupdate Dari Kami Kliknya follow
Done