Sicherheitsanbieter Sucuri sieht eine neue Welle von Schadsoftware mit eingebautem Keylogger und Miner anrollen.

WordPressCodeIsPoetryEine deutliche Anzahl von Websites, die auf dem Content-Management-System (CMS) WordPress basieren, ist aktuell mit Malware infiziert, hat jetzt der Sicherheitsanbieter Sucuri verlautbart.

Danach ist das schon die zweite Angriffswelle dieser Art seit April letzten Jahres. Die dafür genutzte Schadsoftware ist unter anderem in der Lage, alle Tastatureingaben von WordPress-Administratoren und Besuchern einer infizierten Seite aufzuzeichnen und auf diese Weise auch Zugangsdaten wie Passwörter und Benutzernamen abzugreifen.

Zum Keylogger gesellt sich der Kryptominer Coinhive

Die Schadsoftware umfasst aber unter anderem auch einen browserbasierten Miner zum Schürfen von Kryptowährungen, der dann auf den Computern der Nutzer auf deren Kosten (Strom, Abnutzung, Leistungsverlust) ausgeführt wird, die eine der infizierten Seiten aufrufen. Von denen soll es nach Angaben des Website-Suchdiensts PublicWWW aktuell schon fast 2100 geben.

Laut Sicherheitsanbieter Sucuri waren bei der ersten Angriffswelle nahezu 5.500 Webseiten mit WordPress-Installationen betroffen. Die Verbreitung wurde letztlich durch Abschalten der Domain „cloudflare.solutions“ beendet – die natürlich in keinem Zusammenhang mit dem bekannten und legitimen Unternehmen Cloudflare steht.

Das gilt übrigens auch für die bei der aktuellen Welle zum Hosten des Schadcodes verwendeten Seiten „msdns.online“, „cdjs.online“ und „cdns.ws“ – hier wird von den kriminellen Angreifern einfach nur das Vertrauen der Surfer in bekannte, in der Regel korrekt arbeitende Firmen und Organisationen mit ausgenutzt.

Details zur Malware

„Das Skript sendet die eingegebenen Daten eines jeden Website-Formulars (inklusive des Anmeldeformulars) über das WebSocket-Protokoll an die Hacker“, ließ der Sicherheitsforscher Denis Sinegubko von Sucuri wissen. Die Angreifer verstecken ihre Malware an verschiedenen Stellen eines WordPress-CMS, beispielsweise in der Datenbank oder in der Funktionssammlung functions.php. Als Miner für Kryptogeld wird dabei ohne Wissen oder gar Zustimmung des Benutzers Coinhive benutzt.

Leider ist Sucuri noch nicht wirklich geschwätzig geworden, was genutzte Sicherheitslücken oder den Verbreitungsweg angeht. Vermutlich wird aber auch diese neue Angriffswelle wie schon die erste Welle vor neun Monaten durch Ausschaltung der den Schadcode hostenden Domains gestoppt werden – das dürfte sich in den nächsten Tagen zeigen.