Über 2.000 Wordpress-Websites wurden gehackt, um eine Kampagne zu unterstützen, die Besucher auf Betrugsseiten umleitet, die unerwünschte Browserbenachrichtigungsabonnements, gefälschte Umfragen, Werbegeschenke und gefälschte Adobe Flash-Downloads enthalten.
Diese Hacking-Kampagne wurde von der Website-Sicherheitsfirma Sucuri entdeckt, die Angreifer feststellte, die Schwachstellen in Wordpress-Plugins in der dritten Januarwoche 2020 ausnutzten.
Sucuri-Forscher Luke Leal erzählte BleepingComputer, dass einige der anfälligen Plugins, die ausgenutzt wurden, das "CP Contact Form with PayPal" und die "Simple Fields" Plugins sind, aber uns wurde gesagt, dass wahrscheinlich auch andere Plugins ins Visier genommen werden.
Wenn ausgenutzt, ermöglichen die Schwachstellen den Angreifern, JavaScript einzuspritzen, das Skripte direkt in das Theme der Website von admarketlocation[.]com und gotosecond2[.]com lädt, wie unten gezeigt.
Wenn ein Besucher die gehackte Website aufruft, versucht das injizierte Skript, im Hintergrund auf die administrativen URLs /wp-admin/options-general.php und /wp-admin/theme-editor.php zuzugreifen, um weitere Skripte einzuspritzen oder Wordpress-Einstellungen zu ändern, die den Besucher ebenfalls umleiten.
Diese URLs erfordern jedoch administrativen Zugriff, sodass sie nur erfolgreich funktionieren, wenn ein Administrator die Website besucht. Alle anderen werden stattdessen durch eine Reihe von Websites umgeleitet, die sie letztendlich auf verschiedene Betrugsseiten bringen.
In unseren Tests gegen eine dieser gehackten Websites wurden wir häufig auf Betrugsseiten umgeleitet, die den Benutzern mitteilten, dass sie sich für Browserbenachrichtigungen anmelden müssen, um fortzufahren.
Sobald ein Benutzer auf die Schaltfläche Zulassen klickt, um die Benachrichtigungen zu abonnieren, wird er zu anderen Betrugsseiten wie gefälschten Umfragen, Tech-Support-Betrügereien und gefälschten Adobe Flash Player-Updates umgeleitet.
Zusätzlich zum Einspritzen des JavaScripts stellte Sucuri auch fest, dass die Angreifer gefälschte Plugin-Verzeichnisse erstellt haben, die verwendet werden, um weitere Malware auf die kompromittierten Websites hochzuladen.
„Ein weiterer interessanter Fund ist die Erstellung von gefälschten Plugin-Verzeichnissen, die weitere Malware enthalten und auch durch den Missbrauch von /wp-admin/-Funktionen durch den Angreifer generiert werden können, nämlich das Hochladen von zip-komprimierten Dateien mit der Datei /wp-admin/includes/plugin-install.php, um das Hochladen und Entzippen des komprimierten gefälschten Plugins in /wp-content/plugins/ durchzuführen“, erklärte Sucuri in ihrem Bericht.
Die am häufigsten gesehenen Ordner sind wp-content/plugins/supersociall/supersociall.php und /wp-content/plugins/blockspluginn/blockspluginn.php.
Betreiben Sie eine Webseite mit Wordpress CMS und befürchten Sie, dass Sie kompromittiert wurden? Melden Sie sich bei uns, gerne überprüfen wir Ihre Webseite und erstellen ein Bericht über allfällig erkannten, bösartigen Inhalt und unterstützen Sie beim Umsetzen der Massnahmenempfehlungen. Ist Ihre Webseite für Sie geschäftskritisch? Dann empfehlen wir Ihnen unsere Penetrationstests.
Kontaktieren Sie uns: 031 529 29 00 oder per Mail direkt an: roberto@bortoli.ch