Tausende von Wordpress-Seiten wurden in diesem Monat gehackt und mit bösartigem Code kompromittiert, so Sicherheitsforscher von
Sucuri und
Malwarebytes. Alle Angriffe scheinen einem ähnlichen Muster zu folgen - um bösartigen Code von einem bekannten Bedrohungsakteur einzuspeisen - obwohl der Einstiegsvektor für all diese Vorfälle unterschiedlich zu sein scheint.
Forscher glauben, dass Eindringlinge Zugang zu diesen Seiten erhalten, nicht indem sie Fehler im Wordpress CMS selbst ausnutzen, sondern Schwachstellen in veralteten Themes und Plugins. Wenn sie Zugang zu einer Website erhalten, bauen sie eine Hintertür für zukünftige Zugriffe ein und nehmen Änderungen am Code der Website vor.
In den meisten Fällen ändern sie PHP- oder Javascript-Dateien, um bösartigen Code zu laden, obwohl einige Benutzer berichtet haben, dass auch Änderungen an Datenbanktabellen vorgenommen wurden. Jérôme Segura, Sicherheitsforscher bei Malwarebytes sagt, dass einige der während des Umleitungsprozesses beobachteten Traffic-Muster mit den Mustern eines bekannten Traffic-Verteilungssystems übereinstimmen, das von mehreren Malware-Verteilungskampagnen verwendet wird.
Segura sagte auch, dass einige der Tech-Support-Scams, bei denen Benutzer landen, den "bösen Cursor" Chrome-Bug verwenden, um Benutzer daran zu hindern, die Registerkarte der bösartigen Website zu schliessen, ein Trick, den der Forscher letzte Woche zum ersten Mal entdeckt hat.
