WordPress-Plugin

Sicherheitsforscher haben ein bösartiges WordPress-Plugin entdeckt, das gefälschte Administratorkonten erstellt und bösartigen JavaScript-Code einschleust, um Kreditkarteninformationen zu stehlen. LautNetzwerksicherheitDas Unternehmen Sucuri erklärte, der Diebstahl sei Teil des Magecart-Angriffs, der auf E-Commerce-Websites abzielt.

"Wie viele andere bösartige oder gefälschte WordPress-Plugins enthält es einige irreführende Informationen am Anfang der Datei, um es legitim aussehen zu lassen", so Sicherheitsforscher Ben Martin. "In diesem Fall behauptet die Anmerkung, der Code sei 'WordPress Cache Addons'."

Bösartige Plugins gelangen in der Regel auf zwei Arten in WordPress-Websites:

Ausnutzung von kompromittierten Administratorkonten
Ausnutzung von Sicherheitslücken in anderen Plug-ins, die bereits auf der Website installiert sind
Nach der Installation kopiert sich das Plugin in das Verzeichnis mu-plugins (obligatorische Plugins), um seine Präsenz in der Verwaltungskonsole automatisch zu aktivieren und zu verbergen.

"Da die einzige Möglichkeit, mu-plugins zu entfernen, darin besteht, die Dateien manuell zu löschen, findet die Malware einen Weg, diesen Vorgang zu verhindern", erklärt Martin. "Die Malware tut dies, indem sie die Callback-Funktionen der Hooks (Haken), die typischerweise von solchen Plugins verwendet werden, auskommentiert."

Das betrügerische Plugin erstellt und versteckt außerdem ein Administrator-Benutzerkonto, um die Aufmerksamkeit des Website-Administrators nicht zu erregen, und greift weiterhin über einen längeren Zeitraum auf die Zielsite zu.

Das eigentliche Ziel des Angreifers ist es, Malware, die Kreditkarteninformationen stiehlt, in die Kassenseite einzuschleusen und die Informationen an eine vom Angreifer kontrollierte Domain zu stehlen.

Offenlegung von Ereignissen

Die Enthüllung erfolgt nur wenige Wochen, nachdem die WordPress-Sicherheitsgemeinschaft Nutzer vor einer Phishing-Kampagne gewarnt hat. Die Phishing-Kampagne warnt die Nutzer vor einer Sicherheitslücke im Content-Management-System WordPress und verleitet sie dazu, ein Plugin zu installieren, das einen Administrator-Benutzer anlegt und eine Web-Shell für einen dauerhaften Fernzugriff bereitstellt.

Laut Sucuri nutzen die Angreifer hinter der Kampagne den "RESERVED"-Status des CVE-Identifikators aus, der erscheint, wenn der Identifikator von einer CVE Numbering Authority (CNA) oder einem Sicherheitsforscher verwendet wird, aber die Details noch nicht ausgefüllt wurden.

Andere Magecart-Angriffe

Der Vorfall ereignete sich auch, als ein Website-Sicherheitsunternehmen eine weitere Magecart-Angriffskampagne entdeckte. Die Kampagne nutzte das WebSocket-Kommunikationsprotokoll, um Skimmer-Code in einen Online-Shop einzufügen. Die Schadsoftware wurde ausgelöst, wenn eine gefälschte Schaltfläche "Bestellung abschließen" über einer legitimen Schaltfläche für die Kasse angeklickt wurde.

Ein diese Woche von Europol veröffentlichter thematischer Bericht über Cyberbetrug beschreibt digitales Skimming als eine anhaltende Bedrohung, die zum Diebstahl, Weiterverkauf und Missbrauch von Kreditkartendaten führt. In dem Bericht heißt es: "Eine wichtige Entwicklung beim digitalen Skimming ist die Verlagerung von der Verwendung von Front-End-Malware zur Verwendung von Back-End-Malware, wodurch es schwieriger zu erkennen ist.

Die EU-Strafverfolgungsbehörden meldeten außerdem 443 Online-Händlern, dass die Kredit- oder Zahlungskartendaten ihrer Kunden durch den Skimming-Angriff kompromittiert worden waren.

Group-IB arbeitet auch mit Europol an einer grenzüberschreitenden Cybercrime-Initiative namens Operation Digital Skimmer. Das Unternehmen gab an, 23 JS-Sniffer-Familien aufgespürt und identifiziert zu haben, darunter ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter und R3nin, die für Angriffe auf Unternehmen in 17 verschiedenen Ländern in Europa und Amerika verwendet wurden.

Das Unternehmen fügte hinzu: "Bis Ende 2023 werden weltweit 132 JS-Sniffer-Familien für Angriffe auf Websites eingesetzt."

Andere Sicherheitsrisiken

Darüber hinaus wurde festgestellt, dass gefälschte Anzeigen, die auf Kryptowährungsplattformen abzielten, in Google-Suchen und auf Twitter für einen Kryptowährungsdiebstahl namens MS Drainer warben. Der Dieb hat seit März 2023 über 10.072 Phishing-Websites schätzungsweise 58,98 Millionen US-Dollar von 63.210 Opfern gestohlen.

"Durch die Verwendung von Google-Suchbegriffen und der folgenden X-Suchbasis können sie spezifische Ziele auswählen und laufende Phishing-Kampagnen zu sehr geringen Kosten starten", so ScamSniffer.

Einige Vorschläge

Um Ihre WordPress-Website vor bösartigen Plugins zu schützen, können Sie die folgenden Schritte unternehmen:

Laden Sie Plugins nur aus vertrauenswürdigen Quellen herunter.
Aktualisieren Sie regelmäßig WordPress und alle Plugins.
Verwenden Sie Sicherheits-Plug-ins zur Erkennung und Blockierung von Malware.
Sichern Sie Ihre Website für die Wiederherstellung im Falle eines Angriffs.
Wenn Sie den Verdacht haben, dass Ihre WordPress-Website mit einem bösartigen Plugin infiziert wurde, können Sie sie mit den folgenden Tools überprüfen:

Sucuri SiteCheck
Wordfence-Scanner
Invicti Sicherheitsscanner
Diese Tools können Ihnen helfen, bösartige Plugins zu erkennen und zu entfernen.