В декабре 2017 года аналитики компании Sucuri предупреждали о вредоносной кампании, развернутой против плохо защищенных и давно не обновляющихся сайтов на базе WordPress. Напомню, что тогда специалисты обнаружили, что злоумышленники загружают на взломанные сайты скрипты, работающие как кейлоггер и ворующие все данные, которые пользователи заносят в различные формы. Также скрипты подгружали на зараженные сайты криптовалютный майнер Coinhive. Предполагалось, что кампания активна как минимум с апреля 2017 года, и от рук злоумышленников пострадали более 5500 сайтов.
Теперь специалисты Sucuri представили новый отчет, согласно которому злоумышленники по-прежнему не прекратили свою операцию. Преступники все так же компрометируют сайты через уязвимые темы или плагины, а также эксплуатируют баги в старых версиях WordPress, а затем внедряют в админку код, который подгружает кейлоггера, хостящегося на стороннем домене. На фронтэнде взломщики размещают браузерный майнер Coinhive, использующий компьютеры посетителей таких сайтов для майнинга криптовалюты Monero.
Если ранее преступники размещали свою малварь на домене cloudflare.solutions, то теперь список доменов пополнили cdjs.online, cdns.ws и msdns.online. Согласно данным PublicWWW, скрипты с этих доменов загружаются более чем для 2000 сайтов (1, 2, 3). Однако далеко не все сайты индексируются PublicWWW, так что исследователи полагают, что на самом деле пострадавших ресурсов гораздо больше.