キーロガー&マイニング用スクリプト入りのマルウェアがWordPressで流行中、5500近いサイトに感染

00-5d153a342b8addafb9d78f8ecfda3bb0c7ba22d9

by Kaitlyn Baker

2017年11月に入ってjQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェア「cloudflare[.]solution」が流行しています。11月時点では感染サイト数は1833だったのですが、その後、マルウェアは進化してキーロガーの機能も取り込み、感染サイト数が5500に迫っていることがわかりました。

Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites
https://blog.sucuri.net/2017/12/cloudflare-solutions-keylogger-on-thousands-of-infected-wordpress-sites.html

Hacked Websites Mine Cryptocurrencies
https://blog.sucuri.net/2017/09/hacked-websites-mine-crypocurrencies.html

セキュリティ企業・Sucuriによれば、PirateBayのように自分でスクリプトを設置して、サイトを訪問したユーザーのCPUリソースを拝借してマイニングを行っているサイトがある一方で、マイニング用スクリプトの悪用を考える人も出てきていて、WordPressでは少なくない数のサイトがマイニング用スクリプトを勝手に埋め込むマルウェアに感染しているとのこと。

2017年11月に確認されたマルウェア「cloudflare[.]solution」は、jQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェアで、2017年11月2日時点で1833のサイトで感染が確認されています。

それから1カ月が経過して状況はさらに悪化。「cloudflare[.]solution」がキー入力内容を記録するキーロガーの機能も取り込んで進化する一方、感染サイト数は5496にまで増加しています。

“cloudflare.solutions/ajax” – 5496 Websites – PublicWWW.com
https://publicwww.com/websites/%22cloudflare.solutions%2Fajax%22/

こうした悪質なコードはWordPressテーマの「function.php」に埋め込まれているので、Sucuriでは「add_js_script」ファンクション、および「add_js_scripts」に関連する「add_action」節すべての削除を呼びかけています。また、キーロガー機能が含まれることにより、WordPressのパスワードもすでに盗まれている可能性があるため、コード除去後にパスワード変更を行うことも必要だと指摘しています。

・関連記事
ウェブサイト訪問者のPCリソースを秘密裏に借り受けてブラウザを閉じても仮想通貨をマイニングし続ける手法が見つかる – GIGAZINE

人気ゲーミングキーボードが秘密裏にキー入力情報を記録して中国に送信していることが明らかに – GIGAZINE

HPのPCはユーザーがキーボードで何を打ち込んだか記録している – GIGAZINE

ワイヤレスキーボードの入力内容を監視するキーロガーについてFBIが警告 – GIGAZINE

・関連コンテンツ

119

Related post

オススメ記事

  1. 00_m-f803f95382654313c717c3f8ad08602fbd4c660d
    2017年02月06日 13時0…
  2. mane_170207_01-550x412-3208b91260fc66faee13778d6181897c7f5a280d
    年始早々に、30…
  3. 170118virusnuclei_main-22e22cc72fa7d4316d37fc6cf89ba24079e0a4fe
    冬になるとӌ…
Return Top