Die Sicherheitsexperten von Sucuri berichteten kürzlich über eine Malware Kampagne, die DNS TXT-Records als Traffic Direction System (TDS) verwendet, um Ihre Spuren zu verschleiern. Diese Malware war früher dafür bekannt, bösartigen JavaScript-Code in kompromittierte WordPress-Websites einzuspritzen, um Besucher auf schädliche Domains umzuleiten. Die beobachtete Kampagne hat einen Wechsel vollzogen: von clientseitigen zu serverseitigen Umleitungen. Diese Änderung wurde erstmals im März 2024 beobachtet. Die Forscher haben festgestellt, dass diese Malware dynamische DNS TXT-Records des Domains tracker-cloud[.]com verwendet, um Umleitungs-URLs zu erhalten.
Die Malware generiert bei jedem Besuch einer infizierten Seite einen einzigartigen Subdomain-Namen und fragt dessen TXT-Record ab, der die nächste URL in der Umleitungskette enthält. Die Serverantwort enthält dann eine Basis64-codierte URL, wohin der Besucher weitergeleitet wird. Diese Technik macht es extrem schwer, die Malware-Aktivitäten zu erkennen und zu blockieren, da die tatsächlichen Umleitungsziele ständig wechseln können.
Unter den für TDS verwendeten Domains befinden sich cloud-stats[.]com, host-stats[.]io und logsmetrics[.]com. Seit März 2024 wird konsequent die Domain web-hosts[.]io für die Initiation der Umleitungsketten verwendet. Die Forscher raten dringend dazu, Software und Skripte auf den neuesten Stand zu bringen und regelmäßige Überprüfungen der Webpräsenz auf Anzeichen einer Kompromittierung durchzuführen.
Es gibt keine einfache Methode, um sich vollständig vor dieser Art von Angriff zu schützen, da die Malware kontinuierlich ihre Techniken ändert. WordPress Website-Betreiber sollten jedoch darauf achten, ihre Systeme regelmäßig zu aktualisieren, unbekannte oder unnötige Plugins zu deaktivieren und fortlaufende Überwachungen durchzuführen, um ungewöhnliche Aktivitäten schnell zu erkennen. Den vollständigen Artikel können Sie auf dem Sucuri Blog lesen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: