Keylogger découvert sur plus de 5 000 sites WordPress

Cette année, une enquête a trouvé de nombreux sites Web WordPress qui présentaient des logiciels malveillants d'extraction de crypto-monnaie. Il semble que ce malware ait évolué et soit devenu un enregistreur de frappe qui recueille les informations saisies par les visiteurs lors de leurs visites sur ces sites. Il a déjà été détecté sur plus de 5500 sites WordPress.

Enregistreur de frappe découvert sur plus de 5000 sites Web WordPress

En avril dernier, la société de sécurité Sucuri a découvert ces 5 500 sites utilisant des CMS infectés par des logiciels malveillants pour l'extraction de crypto-monnaie. Une pratique de plus en plus courante. Cependant, il semble qu'au fil des mois, cette menace ait sensiblement changé.

Enregistreur de frappe dans WordPress

Initialement, j'ai utilisé le fichier WordPress functions.php pour faire des requêtes contre une fausse adresse Cloudflare. Vous pouvez donc établir un WebSocket grâce à une bibliothèque. Mais tout cela a évolué avec le temps. Il semble que pour le moment, l' extraction de crypto-monnaie s'est arrêtée. Maintenant, ce malware est devenu un enregistreur de frappe. Ainsi, tous les espaces sur le Web pour saisir du texte ont changé.

Ils obtiennent les informations des utilisateurs et sont capables de voler les informations d'identification d'accès aux profils utilisateur du service Web et dans WordPress. La gestion des CMS peut donc être compromise. Il est recommandé aux utilisateurs de changer leur mot de passe dès que possible pour éviter d'éventuels problèmes.

Pour les utilisateurs dont le site WordPress est concerné, la solution est de rechercher le fichier functions.php. À l'intérieur, recherchez la fonction add_js_scripts et supprimez-la directement. Recherchez ensuite toutes les instructions dans lesquelles cette fonction est mentionnée et supprimez-les également. Une fois cela fait, l'idéal serait de changer les mots de passe ou les identifiants d'accès.