Webseiten mit veralteter WordPress-Installation oder WordPress-Templates werden aktuell durch eine Malwarekampagne angegriffen. Gelingt der Angriff, installieren Cyberkriminelle einen Keylogger. Bisher sind bereits über 2.000 WordPress-Sites befallen.
Anzeige
Die Sicherheitsspezialisten von Sucuri haben die Kampagne bereits am 24. Januar 2018 in ihrem Blog im Artikel Cloudflare[.]solutions Keylogger Returns on New Domains beschrieben. Bereits vor einigen Monaten bzw. im Dezember 2017 haben die Leute bei Sucuri eine entsprechende Malware-Kampagne von "cloudflare.solutions" aufgedeckt.
Seinerzeit wurde ein CoinHive Krypto-Miner über eine Fake Google Analytics-Konto und jQuery in den WordPress-Blogs injiziert. Zudem wurden WordPress-Sites mit einem Keylogger von Cloudflare[.]solutions infiziert. Die Malware wurde von den Sururi-Analysten im April 2017 entdeckt, hat sich aber weiter entwickelt und wird über andere Domains verbreitet.
Neue Infektionen
Wenige Tage, nachdem Sucuri am 8. Dezember 2017 über den Angriff berichtet hatte, wurde die Cloudflare[.]solutions Domain abgeschaltet. Dies war jedoch nicht das Ende der Malware-Kampagne. Die Angreifer registrierten sofort eine Reihe neuer Domains, darunter cdjs[.]online am 8. Dezember, cdns[.] ws am 9. Dezember und msdns[.]online am 16. Dezember.
Anschließend versuchten die Angreifer, veraltete WordPress-Installationen erneut anzugreifen. Das ist erfolgreich gelungen. Eine Suche im Web ergibt momentan noch eine begrenzte Anzahl an Infektion: 146 Webseiten mit Verweisen auf cdns[.]ws, und 145 Webseiten mit Verweisen auf cdjs[.]online. Aber nicht alle befallenen Webseiten dürften im Index aufgeführt sein. Seit Mitte Dezember 2017 gibt es aber 1,800 Websites, die über msdns[.]online infiziert wurden. Für Deutschland habe ich 30 infizierte Seiten gefunden.
Anzeige
Injizierte Scripte
Die Angreifer verwenden eine Vielzahl von Skripten, die in diesem Angriff im vergangenen Monat zur Injektion in die WordPress-Installation verwendet wurden:
hxxps://cdjs[.]online/lib.js
hxxps://cdjs[.]online/lib.js?ver=….
hxxps://cdns[.ws/lib/googleanalytics.js?ver=….
hxxps://msdns[.]online/lib/mnngldr.js?ver=….
hxxps://msdns[.]online/lib/klldr.js
Das cdjs[.Online-Skript wird entweder in eine WordPress-Datenbank (wp_posts-Tabelle) oder in die functions.php-Datei des Themas eingefügt. Dies entspricht der vorherigen Vorgehensweise bei früheren Cloudflare[.]solutions-Angriffen.
Der bösartige Code besteht aus zwei Teilen. Für die Admin-Login-Seite lädt der Code einen Keylogger, der auf einer fremden Domain gehostet wird. Für das Frontend der Site injizieren die Kriminellen einen Coinhive-Miner. Dieser lässt Besucher Monero-Krypto-Geld schürfen. Wer also eine WordPress-Site betreibt, sollte diese mit Tools von Sucuri oder anderen Sicherheitsanbietern auf eine Infektion prüfen lassen. Zudem sollte die WordPress-Installation aktuell gehalten werden. Details sind bei Sucuri sowie bei Bleeping Computer nachzulesen.
Anzeige