Gefälschtes Sicherheits-Plugin auf WordPress ermöglicht Angreifern Fernzugriff

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung für WordPress-Websites hat die Aufmerksamkeit von Cybersicherheitsexperten auf sich gezogen. Ein als Sicherheits-Plugin getarnter Schadcode ermöglicht Angreifern den Fernzugriff auf die Admin-Oberfläche.

Eine neue Kampagne, die WordPress-Websites ins Visier nimmt, wurde von Cybersicherheitsexperten aufgedeckt. Der Schadcode tarnt sich als Sicherheits-Plugin mit dem Namen “WP-antymalwary-bot.php” und bietet eine Vielzahl von Funktionen, um den Zugriff auf die Website zu erhalten, sich vor dem Admin-Dashboard zu verstecken und Remote-Code auszuführen. Laut einem Bericht von Wordfence enthält das Plugin auch eine Ping-Funktionalität, die an einen Command-and-Control-Server (C&C) zurückmeldet, sowie Code, der Malware in andere Verzeichnisse verbreitet und bösartigen JavaScript-Code injiziert, der für das Anzeigen von Werbung verantwortlich ist.

Erstmals entdeckt wurde die Malware während einer Website-Bereinigungsaktion Ende Januar 2025. Seitdem wurden neue Varianten in freier Wildbahn entdeckt. Einige der anderen Namen, die für das Plugin verwendet werden, sind addons.php, wpconsole.php, wp-performance-booster.php und scr.php. Nach der Installation und Aktivierung gewährt das Plugin Bedrohungsakteuren Administratorzugriff auf das Dashboard und nutzt die REST-API, um Remote-Code-Ausführung zu erleichtern, indem es bösartigen PHP-Code in die Header-Datei des Site-Themes injiziert oder die Caches beliebter Caching-Plugins leert.

Eine neue Iteration der Malware zeigt bemerkenswerte Änderungen in der Art und Weise, wie Code-Injektionen gehandhabt werden. Sie ruft JavaScript-Code von einer anderen kompromittierten Domain ab, um Werbung oder Spam zu liefern. Das Plugin wird auch durch eine bösartige wp-cron.php-Datei ergänzt, die die Malware automatisch neu erstellt und reaktiviert, sobald die Website erneut besucht wird, sollte sie aus dem Plugin-Verzeichnis entfernt werden.

Es ist derzeit unklar, wie die Websites kompromittiert werden, um die Malware zu verbreiten, oder wer hinter der Kampagne steckt. Die Anwesenheit russischer Sprachkommentare und Nachrichten deutet jedoch darauf hin, dass die Bedrohungsakteure russischsprachig sind. Die Enthüllung erfolgt, während Sucuri eine Web-Skimmer-Kampagne detailliert beschreibt, die eine gefälschte Schriftart-Domain namens “italicfonts[.]org” verwendet, um ein gefälschtes Zahlungsformular auf Checkout-Seiten anzuzeigen, eingegebene Informationen zu stehlen und die Daten an den Server des Angreifers zu exfiltrieren.

Eine weitere “fortgeschrittene, mehrstufige Carding-Attacke”, die von dem Website-Sicherheitsunternehmen untersucht wurde, zielt auf Magento-E-Commerce-Portale mit JavaScript-Malware ab, die darauf ausgelegt ist, eine Vielzahl sensibler Informationen zu sammeln. Diese Malware nutzte eine gefälschte GIF-Bilddatei, lokale Browser-SessionStorage-Daten und manipulierte den Website-Verkehr mit einem bösartigen Reverse-Proxy-Server, um den Diebstahl von Kreditkartendaten, Anmeldedaten, Cookies und anderen sensiblen Daten von der kompromittierten Website zu erleichtern.

Angreifer wurden auch dabei beobachtet, Google AdSense-Code in mindestens 17 WordPress-Websites an verschiedenen Stellen zu injizieren, um unerwünschte Werbung zu liefern und Einnahmen entweder pro Klick oder pro Impression zu generieren. “Sie versuchen, die Ressourcen Ihrer Website zu nutzen, um weiterhin Werbung zu schalten, und schlimmer noch, sie könnten Ihre Werbeeinnahmen stehlen, wenn Sie selbst AdSense verwenden”, sagte die Sicherheitsforscherin Puja Srivastava. “Indem sie ihren eigenen Google AdSense-Code injizieren, werden sie anstelle von Ihnen bezahlt.”

Das ist noch nicht alles. Täuschende CAPTCHA-Verifikationen, die auf kompromittierten Websites bereitgestellt werden, wurden entdeckt, um Benutzer dazu zu bringen, Node.js-basierte Hintertüren herunterzuladen und auszuführen, die Systeminformationen sammeln, Fernzugriff gewähren und einen Node.js-Remote-Access-Trojaner (RAT) bereitstellen, der darauf ausgelegt ist, bösartigen Datenverkehr durch SOCKS5-Proxies zu leiten. Diese Aktivität wurde von Trustwave SpiderLabs einem Traffic-Distribution-System (TDS) namens Kongtuke (auch bekannt als 404 TDS, Chaya_002, LandUpdate808 und TAG-124) zugeschrieben.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!