Descobert un keylogger en més de 5.000 llocs web wordpress

Aquest any, una investigació va trobar molts llocs web WordPress que presentaven un malware que minava moneda digital. Sembla que aquest malware ha evolucionat i ha aconseguit convertir-se en un keylogger que recopila informació introduïda pels visistantes durant les seves visites a aquestes webs. S'ha detectat ja en més de 5.500 llocs WordPress.

Descobert un keylogger en més de 5.000 llocs web WordPress

El passat mes d'abril l'empresa de seguretat Sucuri va descobrir aquests 5.500 llocs que feien servir CMS infectats amb malware per al minat de moneda digital. Una pràctica cada vegada més comú. Tot i que, sembla que al llarg dels mesos aquesta amenaça ha canviat de forma notable.

Keylogger en WordPress

Al principi feia servir l'arxiu functions.php de WordPress per realitzar p eticiones contra una adreça falsa de Cloudflare. Així podia establir un websocket gràcies a una llibreria. Però, tot això ha anat evolucionant amb el pas del temps. Sembla que de moment el minat de moneda digital s'ha aturat. Ara, aquest malware ha mutat en un keylogger. Pel que tots els espais del web per introduir text han canviat.

Estan obtenint la informació dels usuaris i és capaç de robar les credencials d'accés als perfils d'usuari de l'servei web i en WordPress. Pel que la gestió CMS es pot veure compromesa. Als usuaris se'ls recomana canviar de contrasenya més aviat possible per evitar possibles problemes.

Per a aquells usuaris el lloc web en WordPress estigui afectat, la solució és buscar l'arxiu functions.php. Dins el mateix buscar la funció add_js_scripts i esborrar-la directament. A continuació buscar totes les sentències en què s'esmenti aquesta funció i esborrar-les també. Un cop fet això, l'ideal seria canviar les contrasenyes o credencials d'accés.