Nach Malware-Kampagne: Google setzt 11.000 WordPress-Sites auf schwarze Liste

Google hat über 11.000 Domains auf eine schwarze Liste gesetzt, nachdem die Malware-Kampagne „Soaksoak“ eine große Zahl von WordPress-Sites kompromittieren konnte. Die Sicherheitsfirma Sucuri geht sogar davon aus, dass bereits über 100.000 Sites der Angriffswelle zum Opfer gefallen und potenziell Hunderttausende gefährdet sind.

Google warnt vor Soaksoak.ru (Screenshot: Leon Spencer / ZDNet.com).

Die Bezeichnung Soaksoak geht auf die Domain Soaksoak.ru zurück, weil die Malware auf sie umzuleiten versucht. Dort wartet wiederum eine mit Schadsoftware präparierte Website auf die Besucher, vor der Google ausdrücklich warnt.

Als Einfallstor in WordPress-Sites machte Sucuri das kostenpflichtige „Premium WordPress Plug-in“ Slider Revolution aus. Es ist auch als RevSlider bekannt und soll gleich über mehrere Schwachstellen verfügen. Es kommt häufig in einer nicht mehr aktuellen Version (4.1.4 oder älter) zum Einsatz und wird oft zusammen mit WordPress-Themes installiert. Wie Threatpost anmerkt, ist die automatische Aktualisierung des Plug-ins meist deaktiviert, wenn es als Teil eines Themes installiert wird.

„Einige Website-Betreiber wissen nicht einmal, dass sie es haben, weil es im Paket zusammen mit ihren Themes kommt“, schreibt Daniel Cid, CTO und Gründer von Sucuri, in einem Blogeintrag. „Wir sind derzeit dabei, Tausende von Sites zu säubern. Wenn wir uns mit den Kunden unterhalten, haben viele gar keine Ahnung davon, dass das Plug-in sich in ihrer Installation befindet.“

Die Sicherheitsfirma warnte schon Anfang September vor einer kritischen Schwachstelle in dem Plug-in, nachdem sie in diversen Untergrundforen enthüllt wurde. Die Soaksoak-Attacke läuft demnach mehrstufig ab und platziert mehrere Hintertüren, wenn sie erfolgreich ist. Sie versucht zunächst eine der RevSlider-Schwachstellen zu nutzen, um die Datei wp-config.php herunterzuladen. Eine zweite Schwachstelle erlaubt dann das Hochladen eines bösartigen Themes auf die Site, gefolgt vom Einschleusen der verbreiteten Filesman-Backdoor.

Eine zweite Hintertüre verändert die Datei swfobject.js und injiziert die Malware, die Besucher zu Soaksoak.ru umleitet. Weiterer Malware-Code wird teilweise in Bildern abgelegt, um eine Entdeckung zu vermeiden. Auch kann die Einrichtung neuer Administratorenkonten erfolgen, um langfristig noch mehr Kontrolle zu erlangen.

Sucuri bietet einen kostenlosen Online-Scanner, der Websites auf diese und andere Infektionen überprüft. Die Sicherheitsexperten warnen gleichzeitig vor der verbreiteten Empfehlung, einfach swfobject.js und template-loader.php zu ersetzen, um die Infektion zu beseitigen. Solange noch installierte Hintertüren vorhanden und die ursprünglichen Schwachstellen nicht beseitigt sind, sei mit einer erneuten Infektion zu rechnen – teilweise innerhalb von Minuten, wie von einigen Nutzern berichtet.

[mit Material von Leon Spencer, ZDNet.com]