Fast 2100 Wordpress-Websites mit Keylogger infiziert

Fast 2100 Wordpress-Websites mit Keylogger infiziert

Fast 2100 Wordpress-Websites mit Keylogger infiziert

(Quelle: Sucuri)
31. Januar 2018 -  Sicherheitsforscher haben über 2000 Wordpress-Seiten entdeckt, in die Hacker schädliche Skripte eingeschleust haben. Die Skripte führen einen Keylogger und einen Krypto-Miner aus.
Mehr als 2000 Websites, auf denen das Open-Source Content-Management-System Wordpress läuft, sind mit Malware infiziert, warnen Forscher des Sicherheitsanbieters Sucuri. Die fragliche Malware protokolliert Passwörter und so ziemlich alles andere, was ein Administrator oder Besucher schreibt. Der Keylogger ist Teil eines bösartigen Pakets, das auch einen Kryptowährungs-Miner im Browser installiert, der heimlich auf den Computern von Personen ausgeführt wird, die die infizierten Websites besuchen. Es sollen 2092 Seiten betroffen sein.

Die Sicherheitsfirma Sucuri teilt mit, dass dies derselbe bösartige Code ist, den sie im Dezember auf fast 5500 Wordpress-Sites gefunden hat. Diese waren eliminiert worden, als Cloudflare – die Seite auf der die bösartigen Skripte gehostet worden waren – offline ging. Die neuen Infektionen werden auf drei Websites gehostet. Keine der Websites, auf denen der Code gehostet wird, steht jedoch in irgendeiner Beziehung zu Cloudflare oder einem anderen legitimen Unternehmen.
-
"Unglücklicherweise verhält sich der Keylogger für ahnungslose Nutzer und Besitzer der infizierten Websites genauso wie in früheren Kampagnen", schreibt der Sucuri-Forscher Denis Sinegubko in einem Blog-Post. "Das Skript sendet die Daten, die in jedem Website-Formular (einschließlich des Anmeldeformulars) eingegeben werden, über das Websocket-Protokoll an die Hacker."

Der Sucuri-Blog-Post erklärt nicht explizit, wie die Websites infiziert werden. Aller Wahrscheinlichkeit nach nutzen die Angreifer aber Sicherheitsschwächen aus, die sich aus der Verwendung veralteter Software ergeben.

"Während diese neuen Angriffe noch nicht so massiv erscheinen wie die original Cloudflare-Kampagne, zeigt die Reinfektionsrate, dass es immer noch viele Seiten gibt, die sich nach der ursprünglichen Infektion nicht richtig schützen", so Sinegubko. "Es ist möglich, dass einige dieser Websites die ursprüngliche Infektion gar nicht bemerkt haben."

Personen, die infizierte Websites bereinigen möchten, sollten diese Schritte befolgen. Es ist wichtig, dass die Betreiber der Website alle Passwörter ändern, da die Skripte den Angreifern Zugriff auf alle alten Passwörter gewähren. (swe)
Weitere Artikel zum Thema
 • Massive Brute-Force-Attacken auf Wordpress
 • Wordpress-Update patcht SQL-Injection-Sicherheitslücke
 • Wordpress-Update stopft XSS-Lecks

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2018/01
Schwerpunkt: Mobile-App-Entwicklung 2018
• Aktuelle Entwicklungen und Trends
• Native Apps versus Mobile Web
• Sicherheit in mobilen Applikationen
• Mobile xR - was nicht ist, wird noch
• Marktübersicht: 13 Schweizer App-Entwickler
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER