![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\")
Webseiten mit veralteter WordPress-Installation oder WordPress-Templates werden aktuell durch eine Malwarekampagne angegriffen. Gelingt der Angriff, installieren Cyberkriminelle einen Keylogger. Bisher sind bereits \u00fcber 2.000 WordPress-Sites befallen. <\/p>\n
<\/p>\n
Die Sicherheitsspezialisten von Sucuri haben die Kampagne bereits am 24. Januar 2018 in ihrem Blog im Artikel Cloudflare[.]solutions Keylogger Returns on New Domains<\/a> beschrieben. Bereits vor einigen Monaten bzw. im Dezember 2017 haben die Leute bei Sucuri eine entsprechende Malware-Kampagne von \"cloudflare.solutions\" aufgedeckt. <\/p>\n Seinerzeit wurde ein CoinHive Krypto-Miner \u00fcber eine Fake Google Analytics-Konto und jQuery in den WordPress-Blogs injiziert. Zudem wurden WordPress-Sites mit einem Keylogger von Cloudflare[.]solutions infiziert. Die Malware wurde von den Sururi-Analysten im April 2017 entdeckt, hat sich aber weiter entwickelt und wird \u00fcber andere Domains verbreitet. <\/p>\n Wenige Tage, nachdem Sucuri am 8. Dezember 2017 \u00fcber den Angriff berichtet hatte, wurde die Cloudflare[.]solutions <\/em>Domain abgeschaltet. Dies war jedoch nicht das Ende der Malware-Kampagne. Die Angreifer registrierten sofort eine Reihe neuer Domains, darunter cdjs[.]online<\/em> am 8. Dezember, cdns[.] ws <\/em>am 9. Dezember und msdns[.]online<\/em> am 16. Dezember.<\/p>\n Anschlie\u00dfend versuchten die Angreifer, veraltete WordPress-Installationen erneut anzugreifen. Das ist erfolgreich gelungen. Eine Suche im Web ergibt momentan noch eine begrenzte Anzahl an Infektion: 146 Webseiten<\/a> mit Verweisen auf cdns[.]ws,<\/em> und 145 Webseiten<\/a> mit Verweisen auf cdjs[.]online<\/em>. Aber nicht alle befallenen Webseiten d\u00fcrften im Index aufgef\u00fchrt sein. Seit Mitte Dezember 2017 gibt es aber 1,800 Websites<\/a>, die \u00fcber msdns[.]online<\/em> infiziert wurden. F\u00fcr Deutschland habe ich 30 infizierte Seiten<\/a> gefunden. <\/p>\n Die Angreifer verwenden eine Vielzahl von Skripten, die in diesem Angriff im vergangenen Monat zur Injektion in die WordPress-Installation verwendet wurden:<\/p>\n hxxps:\/\/cdjs[.]online\/lib.js Das cdjs[.Online<\/em>-Skript wird entweder in eine WordPress-Datenbank (wp_posts-Tabelle) oder in die functions.php<\/em>-Datei des Themas eingef\u00fcgt. Dies entspricht der vorherigen Vorgehensweise bei fr\u00fcheren Cloudflare[.]solutions-<\/u>Angriffen.<\/p>\n Der b\u00f6sartige Code besteht aus zwei Teilen. F\u00fcr die Admin-Login-Seite l\u00e4dt der Code einen Keylogger, der auf einer fremden Domain gehostet wird. F\u00fcr das Frontend der Site injizieren die Kriminellen einen Coinhive-Miner. Dieser l\u00e4sst Besucher Monero-Krypto-Geld sch\u00fcrfen. Wer also eine WordPress-Site betreibt, sollte diese mit Tools von Sucuri oder anderen Sicherheitsanbietern auf eine Infektion pr\u00fcfen lassen. Zudem sollte die WordPress-Installation aktuell gehalten werden. Details sind bei Sucuri<\/a> sowie bei Bleeping Computer<\/a> nachzulesen. <\/p>\n","protected":false},"excerpt":{"rendered":" Webseiten mit veralteter WordPress-Installation oder WordPress-Templates werden aktuell durch eine Malwarekampagne angegriffen. Gelingt der Angriff, installieren Cyberkriminelle einen Keylogger. Bisher sind bereits \u00fcber 2.000 WordPress-Sites befallen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-200301","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=200301"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200301\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=200301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=200301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=200301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Neue Infektionen<\/h2>\n
Injizierte Scripte<\/h2>\n
hxxps:\/\/cdjs[.]online\/lib.js?ver=….
hxxps:\/\/cdns[.ws\/lib\/googleanalytics.js?ver=….
hxxps:\/\/msdns[.]online\/lib\/mnngldr.js?ver=….
hxxps:\/\/msdns[.]online\/lib\/klldr.js<\/p>\n