Zahlreiche WordPress-Websites mit Keylogger infiziert

Zahlreiche Websites, die auf dem Content-Management-System WordPress basieren, sind derzeit mit Malware infiziert. Darauf weist der Sicherheitsanbieter Sucuri hin. Demnach ist es schon die zweite Angriffswelle seit April 2017. Die verwendete Schadsoftware ist unter anderem in der Lage, jegliche Tastatureingaben von WordPress-Administratoren oder Besuchern einer betroffenen Seite aufzuzeichnen und somit auch Passwörter und Kennwörter abzufangen.

Der Keylogger ist aber nur ein Teil eines Schadsoftwarepakets, wie Ars Technica berichtet. Es enthält auch einen browserbasierten Miner für Kryptowährungen, der auf den Computern der Nutzer ausgeführt wird, die eine der infizierten Seiten besuchen. Davon soll es derzeit nach Angaben des Website-Suchdiensts PublicWWW fast 2100 geben.

Sucuri zufolge waren bei der ersten Angriffswelle fast 5500 WordPress-Webseiten betroffen. Sie wurde durch die Abschaltung der Domain „cloudflare.solutions“ beendet, die jedoch in keinem Zusammenhang steht mit dem legitimen Unternehmen Cloudflare. Gleiches gilt für die derzeit zum Hosten des Schadcodes verwendeten Seiten „msdns.online“, „cdns.ws“ und „cdjs.online“.

„Bedauerlicherweise verhält sich der Keylogger genauso wie bei früheren Kampagnen“, schreibt Denis Sinegubko, Sicherheitsforscher bei Sucuri, in einem Blogeintrag. „Das Skript sendet die eingegebenen Daten eines jeden Website-Formulars (inklusive des Anmeldeformulars) über das WebSocket-Protokoll an die Hacker.“

Die Angreifer schleusen ihre Skripte in verschiedene Komponenten einer WordPress-Website ein. Unter anderem finden sie sich in der WordPress-Datenbank oder in der Datei functions.php des WordPress Theme. Neben dem Keylogger starten die Skripte aber auch den Miner Coinhive, der ohne Wissen des Nutzers die Kryptowährung Monero schürft.

Wie die Websites infiziert werden, teilte Sucuri nicht mit. Wahrscheinlich nutzen die Cyberkriminellen bekannte Sicherheitslücken aus, die aufgrund veralteter Software ungepatcht sind. „Obwohl die neuen Angriffe nicht so massiv sind wie die ursprüngliche Kampagne, zeigt die Rate der neuen Infektionen doch, dass es immer noch viele Seiten gibt, die nach dem ersten Angriff nicht ausreichend abgesichert wurden“, ergänzte Sinegubko. Der Sicherheitsforscher schließt nicht aus, dass einige Website-Betreiber bis heute nicht einmal eine Infektion im Rahmen der ersten Angriffswelle bemerkt haben.

Der Blogeintrag von Sucuri enthält auch eine Anleitung, um eine Infektion zu finden beziehungsweise die schädlichen Skripte zu entfernen. Betroffene Nutzer müssen anschließend zudem alle zu ihrer Seite gehörenden Passwörter ändern, da sie mit hoher Wahrscheinlichkeit kompromittiert wurden.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google stopft vier Sicherheitslöcher in Chrome 131

Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…

56 Minuten ago

Bitcoin-Trading für Einsteiger und Profis mit Kraken

Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…

2 Stunden ago

Dezember-Patchday: Google stopft schwerwiegende Löcher in Android

Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.

20 Stunden ago

Warum ein überlasteter IT-Service Unternehmen schadet

Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…

21 Stunden ago

Cyberkriminelle nutzen beschädigte Word-Dateien für Phishing-Angriffe

Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…

1 Tag ago

So viele digitale Endgeräte haben Kinder wirklich

Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…

2 Tagen ago