Categories: Sicherheit

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Der Forscher Larry Cashdollar vom Akamai Security Team hat die Aktivitäten einer neuen Hackergruppe analysiert. Sie geht gezielt gegen anfällige WordPress-Seiten vor, um unbemerkt betrügerische Online-Shop einzuschleusen. Dabei schaden die Cyberkriminellen dem Ruf der Website und deren Suchmaschinenranking.

Entdeckt wurden die Angriffe bereits Anfang des Monats mithilfe eines WordPress-Honeypots. Per Brute Force versuchten die Hacker, die Administrator-Konten der WordPress-Seiten zu übernehmen, um die Index-Datei der Seite zu überschreiben und Schadcode einzuschleusen.

Der gut getarnte Code diente dem Forscher zufolge in erster Linie als Proxy, um allen eingehenden Traffic an einen von den Hackern kontrollierten Befehlsserver weiterzuleiten. Von dort aus wurde bestimmten Besuchern dann statt der von ihnen angeforderten Seite ein betrügerischer Online-Shop präsentiert.

Cashdollar fand in seinem Honeypot mehr als 7000 verschiedene Online-Shops, die für die Besucher der legitimen WordPress-Seiten vorbereitet waren. Darüber hinaus sollen die Hacker XML-Sitemaps für die gehackten WordPress-Seiten generiert haben, die nicht nur die echten Seiten, sondern auch die gefälschten Online-Shops enthielten. Die Sitemaps übermittelten sie an Googles Suchmaschine. Anschließend wurden sie wieder gelöscht, um einer Erkennung zu entgehen.

Dadurch erreichten die Forscher, dass Google neue zusätzliche Schlüsselwörter für die gehackte Website erkannte – die jedoch keinen Bezug zum eigentlich Inhalt der Seite hatten und somit zu einer Herabstufung im Suchmaschinenranking führten.

Der Forscher vermutet, dass das eigentliche Ziel der Angriffe ist, dem Suchmaschinenranking einer Seite zu schaden, um dann eine Lösegeld von den Betreibern zu fordern, um die Änderungen rückgängig zu machen. „Das macht sie für Kriminelle leicht auszuführenden Angriffen, da sie nur ein paar kompromittierte Hosts brauchen, um anzufangen“, sagte Cashdollar. „Angesichts der Tatsache, dass Hunderttausende von aufgegebenen WordPress-Installationen online sind und Millionen weitere mit veralteten Plug-ins oder schwachen Zugangsdaten, ist der potenzielle Opferpool gewaltig.“

Vor allem veraltete Plug-ins sind ein beliebtes Ziel von Cyberkriminellen, um WordPress-Website zu hacken, da sie oft nicht automatisch oder zumindest zeitnah aktualisiert werden. Im Oktober sah sich WordPress sogar gezwungen, ein unsicheres Plug-in ohne Wissen und Zustimmung von Website-Betreibern auf den neusten Stand zu bringen. Auch konnten Unbefugte unter Umständen eine Website vollständig kompromittieren.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago