Miles de webs WordPress infectadas con keylogger y scripts que realizan minería

Casi 5500 sitios basados en WordPress han sido infectados con un script que despliega un keylogger (registra las pulsaciones de teclado) y en muchos casos también carga una extensión que realiza minado de cripto-moneda en los equipos de los internautas. Expertos de la firma de seguridad Sucuri apuntan a un dominio llamado clouflare.solutions, que no tiene nada que ver con CloudFlare.

Según datos ofrecidos por PublicWWW, 5496 sitios web siguen actualmente afectados por este script malicioso. Este código dañinose dedica a obtener cualquier dato que los usuarios inserten en los campos de texto de los formularios, enviando esta información al servidor del atacante. Así lo explican en Sucuri:

También mencionamos en un artículo publicado en Abril el citado malware de cloudflare.solutions, que traía consigo minado de cripto-moneda. En este momento los informes indican que hay 5482 sitios afectados por este malwre. Parece que esta campaña está ahora añadiendo keyloggers a la fórmula.

Sitios WordPress afectados por un script malicioso

Hablamos de un serio perjuicio para las instalaciones de este popular CMS, tan utilizado en webs y tiendas online. En estas últimas, el hecho de capturar datos del usuario como tarjetas o cuentas bancarias es especialmente grave.

El script añade un handler a cada campo de entrada en las webs, enviando el dato al atacante (wss://cloudflare[.]solutions:8085/) cuando el usuario abandona el campo.

Los técnicos de Sucuri indican que esta campaña lleva estando activa desde Abril de 2017 y se han rastreado al menos 3 scripts diferentes, todos ellos alojados en el mismo dominio cloudflare.solutions. La primera vez que lo detectaron fue en Abril, cuando los cibercriminales usaron un fragmento Javascript para incrustar anuncios (banners) en sitios web hackeados.

En Noviembre, se informó de que los atacantes estaban cargando scripts maliciosos, disfrazándolos de otros archivos Javascript como los empleados por Google Analytics, aunque en realidad eran una copia de la extensión de minado CoinHive que se efectúa dentro del navegador. A finales de Noviembre el número de webs afectadas era de 1833.

Keylogging y minado de cripto-moneda

Ya en las últimas semanas, el script descubierto ha añadido nuevas capacidades al citado minero CoinHive. Ahora se acompaña del ya comentado keylogger.

El análisis técnico muestra que el script se ubica en el archivo function.php del tema de WordPress, así que es posible neutralizarlo eliminando la función add_js_scripts y cualquier sentencia add_action que enlace con add_js_scripts.

Dada la funcionalidad de este malware, deberían considerarse todas las contraseñas de la instalación de WordPress como comprometidas. Es decir, el paso siguiente tras la limpieza debería ser el de modificar todas las credenciales.