Zahlreiche WordPress-Websites mit Keylogger infiziert

Zahlreiche Websites, die auf dem Content-Management-System WordPress basieren, sind derzeit mit Malware infiziert. Darauf weist der Sicherheitsanbieter Sucuri hin. Demnach ist es schon die zweite Angriffswelle seit April 2017. Die verwendete Schadsoftware ist unter anderem in der Lage, jegliche Tastatureingaben von WordPress-Administratoren oder Besuchern einer betroffenen Seite aufzuzeichnen und somit auch Passwörter und Kennwörter abzufangen.

Der Keylogger ist aber nur ein Teil eines Schadsoftwarepakets, wie Ars Technica berichtet. Es enthält auch einen browserbasierten Miner für Kryptowährungen, der auf den Computern der Nutzer ausgeführt wird, die eine der infizierten Seiten besuchen. Davon soll es derzeit nach Angaben des Website-Suchdiensts PublicWWW fast 2100 geben.

Sucuri zufolge waren bei der ersten Angriffswelle fast 5500 WordPress-Webseiten betroffen. Sie wurde durch die Abschaltung der Domain „cloudflare.solutions“ beendet, die jedoch in keinem Zusammenhang steht mit dem legitimen Unternehmen Cloudflare. Gleiches gilt für die derzeit zum Hosten des Schadcodes verwendeten Seiten „msdns.online“, „cdns.ws“ und „cdjs.online“.

„Bedauerlicherweise verhält sich der Keylogger genauso wie bei früheren Kampagnen“, schreibt Denis Sinegubko, Sicherheitsforscher bei Sucuri, in einem Blogeintrag. „Das Skript sendet die eingegebenen Daten eines jeden Website-Formulars (inklusive des Anmeldeformulars) über das WebSocket-Protokoll an die Hacker.“

Die Angreifer schleusen ihre Skripte in verschiedene Komponenten einer WordPress-Website ein. Unter anderem finden sie sich in der WordPress-Datenbank oder in der Datei functions.php des WordPress Theme. Neben dem Keylogger starten die Skripte aber auch den Miner Coinhive, der ohne Wissen des Nutzers die Kryptowährung Monero schürft.

Wie die Websites infiziert werden, teilte Sucuri nicht mit. Wahrscheinlich nutzen die Cyberkriminellen bekannte Sicherheitslücken aus, die aufgrund veralteter Software ungepatcht sind. „Obwohl die neuen Angriffe nicht so massiv sind wie die ursprüngliche Kampagne, zeigt die Rate der neuen Infektionen doch, dass es immer noch viele Seiten gibt, die nach dem ersten Angriff nicht ausreichend abgesichert wurden“, ergänzte Sinegubko. Der Sicherheitsforscher schließt nicht aus, dass einige Website-Betreiber bis heute nicht einmal eine Infektion im Rahmen der ersten Angriffswelle bemerkt haben.

Der Blogeintrag von Sucuri enthält auch eine Anleitung, um eine Infektion zu finden beziehungsweise die schädlichen Skripte zu entfernen. Betroffene Nutzer müssen anschließend zudem alle zu ihrer Seite gehörenden Passwörter ändern, da sie mit hoher Wahrscheinlichkeit kompromittiert wurden.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago