Kryptominer und Keylogger auf mehr als 2.000 WordPress-Seiten gefunden

Mehr als 2.000 WordPress-Installationen sind mit einer Schadsoftware infiziert, die sämtliche Nutzereingaben aufzeichnet und obendrein zum Kryptomining genutzt wird. Eine frühere Version der Malware war bereits im Dezember 2017 im Umlauf.Anfang Dezember 2017 berichtete der Sicherheitsdienstleister Sucuri von einer als Google-Analytics-Script getarnten Schadsoftware, die damals fast 5.500 WordPress-Installationen befallen hatte. Die Malware verfügte über einen Keylogger und sendete alle Nutzereingaben, inklusive den Login-Daten, an den Server eines Unbekannten. Nach der Veröffentlichung des Berichts wurde der Server zwar vom Netz genommen – jetzt scheint die Malware aber erneut aufgetaucht zu sein.

Nach Daten von PublicWWW sind mehr als 2.000 WordPress-Installationen von der neuen Variante der Schadsoftware betroffen. Je nach Variation des Malware kommt neben einem Keylogger auch ein Kryptominer zum Einsatz. Das berichtet Sucuri in einem Blog-Beitrag. Der Kryptominer ist entweder als jQuery oder als Google Analytics getarnt. Die in den letzten Monaten in die betroffenen Seiten injizierten Skripte lauten:

  • hxxps://cdjs[.]online/lib.js
  • hxxps://cdjs[.]online/lib.js?ver=…
  • hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…
  • hxxps://msdns[.]online/lib/mnngldr.js?ver=…
  • hxxps://msdns[.]online/lib/klldr.js

WordPress-Malware: Genauer Infektionsweg unbekannt

Wie genau die WordPress-Seiten infiziert wurden, bleibt unklar. Es ist jedoch anzunehmen, dass die Betreiber der betroffenen Seiten veraltete Software-Versionen einsetzen. Um die Infektion loszuwerden, muss der schadhafte Code aus der functions.php des WordPress-Themes entfernt werden. Außerdem sollten im Fall einer Infektion auch alle Passwörter geändert werden und die Software auf den neusten Stand gebracht werden.

Ebenfalls interessant:


Quelle: Kryptominer und Keylogger auf mehr als 2.000 WordPress-Seiten gefunden

Webseite erstellen lassen?