El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tiene sospechas que esta nueva campaña pueda estar ligada a la campaña que sufrió este CMS en diciembre de 2017, en la cual se afectó a unos 5500 sitios web. El motivo de esta sospecha es debido a que en los dos ataque realizados se utilizó este keylogger de criptomoneda como método de ataque, un malware llamado “cloudflare[.]solutions”, aunque hay que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.
El nombre de este malware es debido a que los scripts utilizados utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos dominios registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.
El ataque se realiza en sitios WordPress con una seguridad débil, por medio de la injección de scripts en base de datos (en tabla "wp_posts") o en el archivo "functions.php".
Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas "functions.php", revisar las tablas "wp_posts" y cambiar todas las contraseñas del sitio web.
Fuente | una-al-dia Hispasec
No hay comentarios.:
Publicar un comentario