キーロガー&マイニング用スクリプト入りのマルウェアがWordPressで流行中、5500近いサイトに感染
by Kaitlyn Baker
2017年11月に入ってjQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェア「cloudflare[.]solution」が流行しています。11月時点では感染サイト数は1833だったのですが、その後、マルウェアは進化してキーロガーの機能も取り込み、感染サイト数が5500に迫っていることがわかりました。
https://blog.sucuri.net/2017/12/cloudflare-solutions-keylogger-on-thousands-of-infected-wordpress-sites.html
Hacked Websites Mine Cryptocurrencies
https://blog.sucuri.net/2017/09/hacked-websites-mine-crypocurrencies.html
セキュリティ企業・Sucuriによれば、PirateBayのように自分でスクリプトを設置して、サイトを訪問したユーザーのCPUリソースを拝借してマイニングを行っているサイトがある一方で、マイニング用スクリプトの悪用を考える人も出てきていて、WordPressでは少なくない数のサイトがマイニング用スクリプトを勝手に埋め込むマルウェアに感染しているとのこと。
2017年11月に確認されたマルウェア「cloudflare[.]solution」は、jQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェアで、2017年11月2日時点で1833のサイトで感染が確認されています。
それから1カ月が経過して状況はさらに悪化。「cloudflare[.]solution」がキー入力内容を記録するキーロガーの機能も取り込んで進化する一方、感染サイト数は5496にまで増加しています。
"cloudflare.solutions/ajax" - 5496 Websites - PublicWWW.com
https://publicwww.com/websites/%22cloudflare.solutions%2Fajax%22/
こうした悪質なコードはWordPressテーマの「function.php」に埋め込まれているので、Sucuriでは「add_js_script」ファンクション、および「add_js_scripts」に関連する「add_action」節すべての削除を呼びかけています。また、キーロガー機能が含まれることにより、WordPressのパスワードもすでに盗まれている可能性があるため、コード除去後にパスワード変更を行うことも必要だと指摘しています。