Fast 2100 Wordpress-Websites mit Keylogger infiziert
Quelle: Sucuri

Fast 2100 Wordpress-Websites mit Keylogger infiziert

Sicherheitsforscher haben über 2000 Wordpress-Seiten entdeckt, in die Hacker schädliche Skripte eingeschleust haben. Die Skripte führen einen Keylogger und einen Krypto-Miner aus.
31. Januar 2018

     

Mehr als 2000 Websites, auf denen das Open-Source Content-Management-System Wordpress läuft, sind mit Malware infiziert, warnen Forscher des Sicherheitsanbieters Sucuri. Die fragliche Malware protokolliert Passwörter und so ziemlich alles andere, was ein Administrator oder Besucher schreibt. Der Keylogger ist Teil eines bösartigen Pakets, das auch einen Kryptowährungs-Miner im Browser installiert, der heimlich auf den Computern von Personen ausgeführt wird, die die infizierten Websites besuchen. Es sollen 2092 Seiten betroffen sein.


Die Sicherheitsfirma Sucuri teilt mit, dass dies derselbe bösartige Code ist, den sie im Dezember auf fast 5500 Wordpress-Sites gefunden hat. Diese waren eliminiert worden, als Cloudflare – die Seite auf der die bösartigen Skripte gehostet worden waren – offline ging. Die neuen Infektionen werden auf drei Websites gehostet. Keine der Websites, auf denen der Code gehostet wird, steht jedoch in irgendeiner Beziehung zu Cloudflare oder einem anderen legitimen Unternehmen.
"Unglücklicherweise verhält sich der Keylogger für ahnungslose Nutzer und Besitzer der infizierten Websites genauso wie in früheren Kampagnen", schreibt der Sucuri-Forscher Denis Sinegubko in einem Blog-Post. "Das Skript sendet die Daten, die in jedem Website-Formular (einschließlich des Anmeldeformulars) eingegeben werden, über das Websocket-Protokoll an die Hacker."

Der Sucuri-Blog-Post erklärt nicht explizit, wie die Websites infiziert werden. Aller Wahrscheinlichkeit nach nutzen die Angreifer aber Sicherheitsschwächen aus, die sich aus der Verwendung veralteter Software ergeben.


"Während diese neuen Angriffe noch nicht so massiv erscheinen wie die original Cloudflare-Kampagne, zeigt die Reinfektionsrate, dass es immer noch viele Seiten gibt, die sich nach der ursprünglichen Infektion nicht richtig schützen", so Sinegubko. "Es ist möglich, dass einige dieser Websites die ursprüngliche Infektion gar nicht bemerkt haben."

Personen, die infizierte Websites bereinigen möchten, sollten diese Schritte befolgen. Es ist wichtig, dass die Betreiber der Website alle Passwörter ändern, da die Skripte den Angreifern Zugriff auf alle alten Passwörter gewähren. (swe)


Weitere Artikel zum Thema

Massive Brute-Force-Attacken auf Wordpress

21. Dezember 2017 - Derzeit finden bis zu 14 Millionen Angriffe pro Stunde auf Wordpress-Webseiten statt. Die Hacker wollen auf den gekaperten Seiten Software zum Schürfen der Kryptowährung Monero installieren.

Wordpress-Update patcht SQL-Injection-Sicherheitslücke

3. November 2017 - In Wordpress wurde eine Schwachstelle entdeckt, die es Angreifern via SQL Injection ermöglicht, die Kontrolle über eine Site zu übernehmen. Mit der Version 4.8.3 steht jetzt ein Update zur Verfügung, welches das Leck schliesst.

Wordpress-Update stopft XSS-Lecks

21. September 2017 - Mit der Veröffentlichung von Wordpress 4.8.2 werden insgesamt neun Sicherheitslecks gestopft, die für Cross-Site-Scripting-Angriff und SQL Injections missbraucht werden können.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER