Zahlreiche WordPress-Websites mit Keylogger infiziert

Hacker schleusen schädliche Skripte unter anderem in die WordPress-Datenbank ein. Die Skripte führen den Keylogger und auch einen Krypto-Miner aus. Die aktuelle Angriffswelle betrifft fast 2100 Websites.

Zahlreiche Websites, die auf dem Content-Management-System WordPress basieren, sind derzeit mit Malware infiziert. Darauf weist der Sicherheitsanbieter Sucuri hin. Demnach ist es schon die zweite Angriffswelle seit April 2017. Die verwendete Schadsoftware ist unter anderem in der Lage, jegliche Tastatureingaben von WordPress-Administratoren oder Besuchern einer betroffenen Seite aufzuzeichnen und somit auch Passwörter und Kennwörter abzufangen.

WordPress (Bild: WordPress)Der Keylogger ist aber nur ein Teil eines Schadsoftwarepakets, wie Ars Technica berichtet. Es enthält auch einen browserbasierten Miner für Kryptowährungen, der auf den Computern der Nutzer ausgeführt wird, die eine der infizierten Seiten besuchen. Davon soll es derzeit nach Angaben des Website-Suchdiensts PublicWWW fast 2100 geben.

Sucuri zufolge waren bei der ersten Angriffswelle fast 5500 WordPress-Webseiten betroffen. Sie wurde durch die Abschaltung der Domain „cloudflare.solutions“ beendet, die jedoch in keinem Zusammenhang steht mit dem legitimen Unternehmen Cloudflare. Gleiches gilt für die derzeit zum Hosten des Schadcodes verwendeten Seiten „msdns.online“, „cdns.ws“ und „cdjs.online“.

„Bedauerlicherweise verhält sich der Keylogger genauso wie bei früheren Kampagnen“, schreibt Denis Sinegubko, Sicherheitsforscher bei Sucuri, in einem Blogeintrag. „Das Skript sendet die eingegebenen Daten eines jeden Website-Formulars (inklusive des Anmeldeformulars) über das WebSocket-Protokoll an die Hacker.“

Die Angreifer schleusen ihre Skripte in verschiedene Komponenten einer WordPress-Website ein. Unter anderem finden sie sich in der WordPress-Datenbank oder in der Datei functions.php des WordPress Theme. Neben dem Keylogger starten die Skripte aber auch den Miner Coinhive, der ohne Wissen des Nutzers die Kryptowährung Monero schürft.

Wie die Websites infiziert werden, teilte Sucuri nicht mit. Wahrscheinlich nutzen die Cyberkriminellen bekannte Sicherheitslücken aus, die aufgrund veralteter Software ungepatcht sind. „Obwohl die neuen Angriffe nicht so massiv sind wie die ursprüngliche Kampagne, zeigt die Rate der neuen Infektionen doch, dass es immer noch viele Seiten gibt, die nach dem ersten Angriff nicht ausreichend abgesichert wurden“, ergänzte Sinegubko. Der Sicherheitsforscher schließt nicht aus, dass einige Website-Betreiber bis heute nicht einmal eine Infektion im Rahmen der ersten Angriffswelle bemerkt haben.

Der Blogeintrag von Sucuri enthält auch eine Anleitung, um eine Infektion zu finden beziehungsweise die schädlichen Skripte zu entfernen. Betroffene Nutzer müssen anschließend zudem alle zu ihrer Seite gehörenden Passwörter ändern, da sie mit hoher Wahrscheinlichkeit kompromittiert wurden.

HIGHLIGHT

EMM – ein nützliches Werkzeug zur Einhaltung der DSGVO

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Datendiebstahl, Malware, Security, Sicherheit, Sucuri, WordPress

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zahlreiche WordPress-Websites mit Keylogger infiziert

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *