先前我們報導過,有超過兩千五百個網站已經被發現被植入了挖礦程式,會讓你在瀏覽該網站的時候,利用你的瀏覽器來幫他們挖礦。而現在,又有新的研究指出,有些網站不但會挖礦,還進一步會側錄你鍵盤輸入的一舉一動。
根據資安業者Sucuri於周三(12/6)的報告,指出根據他們的調查,全球一共約有5482個WordPress網站被植入了cloudflare.solutions惡意程式,雖然名叫這個名字,不過這個惡意程式與知名的CDN業者Cloudflare沒有任何關係。
駭客通常是透過攻擊了WordPress所架設的網站,然後將惡意腳本植入在網站的functions.php檔案中,這是所有WordPress主題中的標準檔案。透過這個惡意腳本, 它會修改URL指向一個假的CloudFlare 網域上,並且植入更多的惡意程式。成功植入後,駭客就可以透過這個鍵盤側錄程式,紀錄WordPress網站的登入資訊。因此,如果所架設的是購物網站,那麼駭客就有機會紀錄到使用者的交易訊息。
從4月份開始的攻擊,不斷進化
cloudflare.solutions惡意程式並不是首次被發現,事實上這個程式在今年四月份就已經被發現了。當時資安公司Sucuri公司追蹤了三個託管在「cloudflare.solutions」這個假網域上的惡意腳本。經過追查,第一個樣本出現在4月份,當時攻擊者僅是透過這個惡意腳本將橫幅廣告嵌在被駭網站上。
後來,到了十一月,攻擊者又將惡意腳本偽裝成Google Analytics JavaScript檔案,但實際上它是用來讓你的瀏覽器變成Coinhive加密貨幣挖礦機。正如之前我們所報導的,受害的網站到十一月底的時候,有超過兩千五百個網站。
而現在,同樣是這個組織,他們在挖礦機的基礎之上,又加上了這個鍵盤側錄工具。而且危害的範圍更大,根據 PublicWWW統計,現在這個惡意腳本活躍於至少有五千個站點上。
面對這個問題,Sucuri的資安專家表示,所有WordPress架站的站長都應該檢查一下自己的網站是否被人利用。而且,由於這個惡意腳本會側錄鍵盤,如果你發現自己的網站已經遭人植入這個惡意腳本,請視為你的網站密碼已經遭到攻陷,立即更改密碼。
- 資料來源:sucuri
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!