JavaScript-Malware infiziert Wordpress und entgeht Erkennung

Die Sicherheitsexperten von Sucuri berichteten kĂŒrzlich ĂŒber eine Malware Kampagne, die DNS TXT-Records als Traffic Direction System (TDS) verwendet, um Ihre Spuren zu verschleiern. Diese Malware war frĂŒher dafĂŒr bekannt, bösartigen JavaScript-Code in kompromittierte WordPress-Websites einzuspritzen, um Besucher auf schĂ€dliche Domains umzuleiten. Die beobachtete Kampagne hat einen Wechsel vollzogen: von clientseitigen zu serverseitigen Umleitungen. Diese Änderung wurde erstmals im MĂ€rz 2024 beobachtet. Die Forscher haben festgestellt, dass diese Malware dynamische DNS TXT-Records des Domains tracker-cloud[.]com verwendet, um Umleitungs-URLs zu erhalten.

Die Malware generiert bei jedem Besuch einer infizierten Seite einen einzigartigen Subdomain-Namen und fragt dessen TXT-Record ab, der die nÀchste URL in der Umleitungskette enthÀlt. Die Serverantwort enthÀlt dann eine Basis64-codierte URL, wohin der Besucher weitergeleitet wird. Diese Technik macht es extrem schwer, die Malware-AktivitÀten zu erkennen und zu blockieren, da die tatsÀchlichen Umleitungsziele stÀndig wechseln können.

Unter den fĂŒr TDS verwendeten Domains befinden sich cloud-stats[.]com, host-stats[.]io und logsmetrics[.]com. Seit MĂ€rz 2024 wird konsequent die Domain web-hosts[.]io fĂŒr die Initiation der Umleitungsketten verwendet. Die Forscher raten dringend dazu, Software und Skripte auf den neuesten Stand zu bringen und regelmĂ€ĂŸige ÜberprĂŒfungen der WebprĂ€senz auf Anzeichen einer Kompromittierung durchzufĂŒhren.

Es gibt keine einfache Methode, um sich vollstĂ€ndig vor dieser Art von Angriff zu schĂŒtzen, da die Malware kontinuierlich ihre Techniken Ă€ndert. Wordpress Website-Betreiber sollten jedoch darauf achten, ihre Systeme regelmĂ€ĂŸig zu aktualisieren, unbekannte oder unnötige Plugins zu deaktivieren und fortlaufende Überwachungen durchzufĂŒhren, um ungewöhnliche AktivitĂ€ten schnell zu erkennen. Den vollstĂ€ndigen Artikel können Sie auf dem Sucuri Blog lesen.

Related Posts

Integer Overflow SicherheitslĂŒcke in Google Chrome

Ende 2023 wurde eine hoch kritische SicherheitslĂŒcke in der Browser-Software Google Chrome aufgedeckt. Die Schwachstelle, bekannt unter der Kennzeichnung CVE-2023-6345, wurde durch die Sicherheitsforscher BenoĂźt Sevens und ClĂ©ment Lecigne von Googles Threat Analysis Group identifiziert.

Read More

Befehlsinjektion bei Cisco Integrated Management Controller möglich

Eine SicherheitslĂŒcke im Command Line Interface (CLI) des Cisco Integrated Management Controller (IMC) könnte es einem authentifizierten, lokalen Angreifer ermöglichen, eine Befehlsinjektion auf dem zugrunde liegenden Betriebssystem durchzufĂŒhren und Root-Rechte zu erlangen. Um die Schwachstelle ausnutzen zu können, muss der Angreifer ĂŒber Leseberechtigungen oder höhere Privilegien auf einem betroffenen GerĂ€t verfĂŒgen.

Read More

Kritische Schwachstelle in Cisco Management Controller Webadmin

Cisco hat am 17.4.24 eine schwerwiegende SicherheitslĂŒcke in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controllers (IMC) bekanntgegeben, die es einem authentifizierten Angreifer mit Administratorrechten ermöglicht, Kommando-Injektionsangriffe durchzufĂŒhren und Administratorrechte bis hin zum Root-Niveau zu erlangen.

Read More