WP3[.]XYZ Malware betrifft mehr als 5.000 WordPress Seiten

  • Home
  • Blog
  • WP3[.]XYZ Malware betrifft mehr als 5.000 WordPress Seiten
WP3[.]XYZ Malware betrifft mehr als 5.000 WordPress Seiten

Sicherheitsforscher des Unternehmens c/side konnten ausmachen, dass Angreifer über 5.000 WordPress Webseiten manipuliert bzw. übernommen haben. Unter den betroffenen Websites finden sich auch einige deutschsprachige Websites. In einem Blogpost schildern sie ihre Erkenntnisse. Mint Secure hat einige der Seitenbetreiber informiert und unterstützt bei der Bereinigung betroffener Installationen.

Grundsätzlich scheint die Malware insbesondere einen neuen Account mit der Kennung „wpx_admin“ (neuer Administratoraccount) anzulegen, die den Angreifern auch zukünftig Zugriff auf die übernommene WordPress-Seite geben soll. Der Zugriff ist somit sehr tiefgreifend und erlaubt auch zukünftig beliebige Veränderungen der Website oder das Nachladen von weiterem Schadcode.

Webseitenbetreiber sollten genau prüfen, ob sie betroffen sind und ihre WordPress Installation auf mögliche Hintertüren durch neu hinzugefügt Accounts, Themes und Plugins prüfen.

Das meist eingebrachte Angreiferscript wird mittlerweile von gängigen Antivirus-Systemen erkannt (häufig sind diese auf Linux-basierten Webservern jedoch nicht im Einsatz). Das Script ist äußerst geschickt und greift bei Aktionen die sogenannten CSRF-Tokens ab, um in einem nächsten Schritt den Adminaccount als Hintertür anzulegen.

Das Script kommuniziert darüber hinaus mit folgenden Command and Control Systemen / Endpunkten:
– https://wp3[.]xyz/plugin[.]php
– https://wp3[.]xyz/tdw1[.]php

Sofern Sie betroffen sind, zögern Sie nicht, sondern nehmen Kontakt mit uns auf, damit wir sie umfassend unterstützen können. Neben einer forensischen Erstanalyse unterstützen wir Sie auch bei der vollständigen Bereinigung und Wiederinbetriebnahme der Website.

Buchen Sie nun einen Termin zur Unterstützung!