Hal ini diketahui karena kedua kampanye menggunakan malware keylogger/cryptocurrency yang bernama cloudflare[.]solutions.
cloudflare[.]solutions adalah malware penambangan cryptocurrency dan tidak berkaitan dengan perusahaan manajemen jaringan dan cybersecurity Cloudflare.
Malware yang ditemukan pada April tahun lalu tersebut menggunakan domain cloudflare[.]solutions untuk penyebaran awal, sehingga diberi nama demikian.
Pada bulan November, malware tersebut ditambahkan keylogger yang dapat mencuri halaman login administrator dan halaman yang terpampang untuk umum.
Jika situs WordPress yang terinfeks merupakan platform e-commerce, maka peretas dapat mencuri data yang lebih berharga, termasuk data kartu pembayaran.
Jika peretas berhasil mencuri credential admin, maka mereka bisa login tanpa harus mengandalkan celah untuk masuk ke situs.
Domain cloudflare[.]solutions ditutup bulan lalu, tetapi para kriminal di balik kampanye tersebut mendaftarkan domain baru untuk menyimpan skrip berbahaya mereka yang akhirnya dimuat ke situs-situs WordPress.