JavaScript-Malware infiziert Wordpress und entgeht Erkennung
Die Sicherheitsexperten von Sucuri berichteten kĂŒrzlich ĂŒber eine Malware Kampagne, die DNS TXT-Records als Traffic Direction System (TDS) verwendet, um Ihre Spuren zu verschleiern. Diese Malware war frĂŒher dafĂŒr bekannt, bösartigen JavaScript-Code in kompromittierte WordPress-Websites einzuspritzen, um Besucher auf schĂ€dliche Domains umzuleiten. Die beobachtete Kampagne hat einen Wechsel vollzogen: von clientseitigen zu serverseitigen Umleitungen. Diese Ănderung wurde erstmals im MĂ€rz 2024 beobachtet. Die Forscher haben festgestellt, dass diese Malware dynamische DNS TXT-Records des Domains tracker-cloud[.]com verwendet, um Umleitungs-URLs zu erhalten.
Die Malware generiert bei jedem Besuch einer infizierten Seite einen einzigartigen Subdomain-Namen und fragt dessen TXT-Record ab, der die nÀchste URL in der Umleitungskette enthÀlt. Die Serverantwort enthÀlt dann eine Basis64-codierte URL, wohin der Besucher weitergeleitet wird. Diese Technik macht es extrem schwer, die Malware-AktivitÀten zu erkennen und zu blockieren, da die tatsÀchlichen Umleitungsziele stÀndig wechseln können.
Unter den fĂŒr TDS verwendeten Domains befinden sich cloud-stats[.]com, host-stats[.]io und logsmetrics[.]com. Seit MĂ€rz 2024 wird konsequent die Domain web-hosts[.]io fĂŒr die Initiation der Umleitungsketten verwendet. Die Forscher raten dringend dazu, Software und Skripte auf den neuesten Stand zu bringen und regelmĂ€Ăige ĂberprĂŒfungen der WebprĂ€senz auf Anzeichen einer Kompromittierung durchzufĂŒhren.
Es gibt keine einfache Methode, um sich vollstĂ€ndig vor dieser Art von Angriff zu schĂŒtzen, da die Malware kontinuierlich ihre Techniken Ă€ndert. Wordpress Website-Betreiber sollten jedoch darauf achten, ihre Systeme regelmĂ€Ăig zu aktualisieren, unbekannte oder unnötige Plugins zu deaktivieren und fortlaufende Ăberwachungen durchzufĂŒhren, um ungewöhnliche AktivitĂ€ten schnell zu erkennen. Den vollstĂ€ndigen Artikel können Sie auf dem Sucuri Blog lesen.