Zahlreiche Websites, die auf dem Content-Management-System WordPress basieren, sind derzeit mit Malware infiziert. Darauf weist der Sicherheitsanbieter Sucuri hin. Demnach ist es schon die zweite Angriffswelle seit April 2017. Die verwendete Schadsoftware ist unter anderem in der Lage, jegliche Tastatureingaben von WordPress-Administratoren oder Besuchern einer betroffenen Seite aufzuzeichnen und somit auch Passwörter und Kennwörter abzufangen.
Sucuri zufolge waren bei der ersten Angriffswelle fast 5500 WordPress-Webseiten betroffen. Sie wurde durch die Abschaltung der Domain „cloudflare.solutions“ beendet, die jedoch in keinem Zusammenhang steht mit dem legitimen Unternehmen Cloudflare. Gleiches gilt für die derzeit zum Hosten des Schadcodes verwendeten Seiten „msdns.online“, „cdns.ws“ und „cdjs.online“.
„Bedauerlicherweise verhält sich der Keylogger genauso wie bei früheren Kampagnen“, schreibt Denis Sinegubko, Sicherheitsforscher bei Sucuri, in einem Blogeintrag. „Das Skript sendet die eingegebenen Daten eines jeden Website-Formulars (inklusive des Anmeldeformulars) über das WebSocket-Protokoll an die Hacker.“
Die Angreifer schleusen ihre Skripte in verschiedene Komponenten einer WordPress-Website ein. Unter anderem finden sie sich in der WordPress-Datenbank oder in der Datei functions.php des WordPress Theme. Neben dem Keylogger starten die Skripte aber auch den Miner Coinhive, der ohne Wissen des Nutzers die Kryptowährung Monero schürft.
Wie die Websites infiziert werden, teilte Sucuri nicht mit. Wahrscheinlich nutzen die Cyberkriminellen bekannte Sicherheitslücken aus, die aufgrund veralteter Software ungepatcht sind. „Obwohl die neuen Angriffe nicht so massiv sind wie die ursprüngliche Kampagne, zeigt die Rate der neuen Infektionen doch, dass es immer noch viele Seiten gibt, die nach dem ersten Angriff nicht ausreichend abgesichert wurden“, ergänzte Sinegubko. Der Sicherheitsforscher schließt nicht aus, dass einige Website-Betreiber bis heute nicht einmal eine Infektion im Rahmen der ersten Angriffswelle bemerkt haben.
Der Blogeintrag von Sucuri enthält auch eine Anleitung, um eine Infektion zu finden beziehungsweise die schädlichen Skripte zu entfernen. Betroffene Nutzer müssen anschließend zudem alle zu ihrer Seite gehörenden Passwörter ändern, da sie mit hoher Wahrscheinlichkeit kompromittiert wurden.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…