Categories: SicherheitVirus

Nach Malware-Kampagne: Google setzt 11.000 WordPress-Sites auf schwarze Liste

Google hat über 11.000 Domains auf eine schwarze Liste gesetzt, nachdem die Malware-Kampagne „Soaksoak“ eine große Zahl von WordPress-Sites kompromittieren konnte. Die Sicherheitsfirma Sucuri geht sogar davon aus, dass bereits über 100.000 Sites der Angriffswelle zum Opfer gefallen und potenziell Hunderttausende gefährdet sind.

Google warnt vor Soaksoak.ru (Screenshot: Leon Spencer / ZDNet.com).

Die Bezeichnung Soaksoak geht auf die Domain Soaksoak.ru zurück, weil die Malware auf sie umzuleiten versucht. Dort wartet wiederum eine mit Schadsoftware präparierte Website auf die Besucher, vor der Google ausdrücklich warnt.

Als Einfallstor in WordPress-Sites machte Sucuri das kostenpflichtige „Premium WordPress Plug-in“ Slider Revolution aus. Es ist auch als RevSlider bekannt und soll gleich über mehrere Schwachstellen verfügen. Es kommt häufig in einer nicht mehr aktuellen Version (4.1.4 oder älter) zum Einsatz und wird oft zusammen mit WordPress-Themes installiert. Wie Threatpost anmerkt, ist die automatische Aktualisierung des Plug-ins meist deaktiviert, wenn es als Teil eines Themes installiert wird.

„Einige Website-Betreiber wissen nicht einmal, dass sie es haben, weil es im Paket zusammen mit ihren Themes kommt“, schreibt Daniel Cid, CTO und Gründer von Sucuri, in einem Blogeintrag. „Wir sind derzeit dabei, Tausende von Sites zu säubern. Wenn wir uns mit den Kunden unterhalten, haben viele gar keine Ahnung davon, dass das Plug-in sich in ihrer Installation befindet.“

Die Sicherheitsfirma warnte schon Anfang September vor einer kritischen Schwachstelle in dem Plug-in, nachdem sie in diversen Untergrundforen enthüllt wurde. Die Soaksoak-Attacke läuft demnach mehrstufig ab und platziert mehrere Hintertüren, wenn sie erfolgreich ist. Sie versucht zunächst eine der RevSlider-Schwachstellen zu nutzen, um die Datei wp-config.php herunterzuladen. Eine zweite Schwachstelle erlaubt dann das Hochladen eines bösartigen Themes auf die Site, gefolgt vom Einschleusen der verbreiteten Filesman-Backdoor.

Eine zweite Hintertüre verändert die Datei swfobject.js und injiziert die Malware, die Besucher zu Soaksoak.ru umleitet. Weiterer Malware-Code wird teilweise in Bildern abgelegt, um eine Entdeckung zu vermeiden. Auch kann die Einrichtung neuer Administratorenkonten erfolgen, um langfristig noch mehr Kontrolle zu erlangen.

Sucuri bietet einen kostenlosen Online-Scanner, der Websites auf diese und andere Infektionen überprüft. Die Sicherheitsexperten warnen gleichzeitig vor der verbreiteten Empfehlung, einfach swfobject.js und template-loader.php zu ersetzen, um die Infektion zu beseitigen. Solange noch installierte Hintertüren vorhanden und die ursprünglichen Schwachstellen nicht beseitigt sind, sei mit einer erneuten Infektion zu rechnen – teilweise innerhalb von Minuten, wie von einigen Nutzern berichtet.

[mit Material von Leon Spencer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Tag ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Tag ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

2 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago