by Kaitlyn Baker

2017年11月に入ってjQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェア「cloudflare[.]solution」が流行しています。11月時点では感染サイト数は1833だったのですが、その後、マルウェアは進化してキーロガーの機能も取り込み、感染サイト数が5500に迫っていることがわかりました。

Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites

https://blog.sucuri.net/2017/12/cloudflare-solutions-keylogger-on-thousands-of-infected-wordpress-sites.html



Hacked Websites Mine Cryptocurrencies

https://blog.sucuri.net/2017/09/hacked-websites-mine-crypocurrencies.html

セキュリティ企業・Sucuriによれば、PirateBayのように自分でスクリプトを設置して、サイトを訪問したユーザーのCPUリソースを拝借してマイニングを行っているサイトがある一方で、マイニング用スクリプトの悪用を考える人も出てきていて、WordPressでは少なくない数のサイトがマイニング用スクリプトを勝手に埋め込むマルウェアに感染しているとのこと。

2017年11月に確認されたマルウェア「cloudflare[.]solution」は、jQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェアで、2017年11月2日時点で1833のサイトで感染が確認されています。

それから1カ月が経過して状況はさらに悪化。「cloudflare[.]solution」がキー入力内容を記録するキーロガーの機能も取り込んで進化する一方、感染サイト数は5496にまで増加しています。

"cloudflare.solutions/ajax" - 5496 Websites - PublicWWW.com

https://publicwww.com/websites/%22cloudflare.solutions%2Fajax%22/

こうした悪質なコードはWordPressテーマの「function.php」に埋め込まれているので、Sucuriでは「add_js_script」ファンクション、および「add_js_scripts」に関連する「add_action」節すべての削除を呼びかけています。また、キーロガー機能が含まれることにより、WordPressのパスワードもすでに盗まれている可能性があるため、コード除去後にパスワード変更を行うことも必要だと指摘しています。