Tausende WordPress-Seiten mit Schadcode infiziert

In den vergangenen Wochen wurden Tausende Websites, die das Content-Management-System WordPress nutzen, offenbar gehackt und mit Schadcode kompromittiert. Darauf weisen Forscher der Sicherheitsfirmen Sucuri und Malwarebytes hin. Als Einfallstor nutzen die Cyberkriminellen aber wohl keine Sicherheitslücken in WordPress, sondern in veralteten WordPress-Themes und –Plug-ins.

Den Forschern zufolge folgen die Angriffe jedoch einem ähnlichen Muster. In den meisten Fällen wird der schädliche Code von einer bekannten Quelle heruntergeladen. Haben die Hacker einen Zugang zu einer WordPress-Seite, installieren sie eine Hintertür für künftige Zugriffe und um den Code der Seite zu verändern.

Sehr häufig modifizieren die unbekannten Täter PHP- oder JavaScript-Dateien, um den Schadcode herunterzuladen. Nach Angaben von einigen Betroffenen wurden aber auch Datenbank-Tabellen manipuliert.

Der schädliche Code filtert laut Jérôme Segura, Sicherheitsforscher bei Malwarebytes, Nutzer heraus, die die kompromittierte Seite besuchen, um sie auch Seiten umzuleiten, die betrügerischen Technik-Support anbieten. Die Traffic-Muster der Umleitungen sollen zudem an die Muster eines gut bekannten Traffic-Systems erinnern, das schon bei früheren Malware-Kampagnen zum Einsatz kam.

Bei einigen der Betrugsseiten kommt Segura zufolge der erst kürzlich entdeckte Evil-Cursor-Bug zum Einsatz. Er führt dazu, dass Nutzer die betrügerische Seite nicht mehr mit einem Mausklick schließen können.

Sucuri will die aktuelle WordPress-Kampagne erstmals Anfang September entdeckt haben. Segura betonte indes, dass die Zahl der Angriffe in den letzten Tagen zugenommen habe.

Eine Google-Suche nach Teilen des schädlichen JavaScript-Codes sollte wahrscheinlich nur einen Bruchteil der insgesamt gehackten Seiten offenbaren. Laut ZDNet.com meldet Google derzeit mehr als 2500 Ergebnisse. Dazu gehört auch eine Website der Expedia Group, dem Anbieter des Reiseportals Expedia.

In der vorletzten Woche hatte ZDNet.com berichtet, dass die Veröffentlichung einer Zero-Day-Lücke in einem beliebten WordPress-Plug-in zu einer Zunahme von Scans nach diesem Plug-in geführt hatte. Ob ein Zusammenhang zu den Angriffen auf WordPress-Websites besteht, konnte Sucuri nicht bestätigen.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

12 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

13 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago