Über eine Million anfällige WordPress-Websites werden laut einem aktuellen Bericht von THN (The Hacker News) seit 2017 durch die Malware namens Balada Injector infiziert. Die Cyberkriminellen nutzen dabei alle bekannten und kürzlich entdeckten Theme- und Plugin-Schwachstellen, um WordPress-Sites unter Zuhilfenahme einer String.fromCharCode-Verschleierung (Obfuscation) zu kompromittieren. Die Angriffe werden alle paar Wochen in Wellen gestartet. Die Malware täuscht auf den infizierten Websites technischen Support, betrügerische Lotteriegewinne und betrügerische CAPTCHA-Seiten vor. Balada Injector ermöglicht es Angreifern z. B. Spam-Anzeigen zu verbreiten.
Ahnungsloser Website-Besucher, die eine infizierte Seite besuchen, werden in einigen Fällen dazu aufgefordert, Benachrichtigungen zu aktivieren. In anderen Fällen werden die Besucher via CAPTCHA dazu angehalten, zu bestätigen, dass sie keine Roboter sind.
Balada Injector nutzt bekannte Sicherheitslücken, wie z. B. HTML-Injektion, aus. Die Angreifer versuchen auf diese Weise, Datenbankanmeldeinformationen in der wp-config.php-Datei (befindet sich Root-Verzeichnis der WordPress-Installation) zu erhalten.
Darüber hinaus sind die Angriffe darauf ausgelegt, beliebige Site-Dateien einschließlich Backups, Datenbank-Dumps, Protokoll- und Fehlerdateien, zu lesen oder herunterzuladen sowie nach Tools wie adminer und phpmyadmin zu suchen, die von Site-Administratoren nach Abschluss von Wartungsaufgaben zurückgelassen worden sein könnten.
Dauerhafter Zugriff durch Backdoors
Die Malware ermöglicht letztendlich die Generierung gefälschter WordPress-Administratorbenutzer, sammelt Daten, die auf den Hosts gespeichert sind, und hinterlässt Hintertüren (Backdoors) für einen unentdeckten, dauerhaften Zugriff.
Balada Injector führt außerdem umfassende Suchvorgänge in Verzeichnissen der obersten Ebene durch, die mit dem Dateisystem der kompromittierten Website verbunden sind, um beschreibbare Verzeichnisse zu finden, die zu anderen Websites bzw. Wenhostingpaketen gehören, die auf dem gleichen Server gehostet werden.
Bei den von uns in jüngster Vergangenenheit durchgeführten Basis-Sicherheits-Checks für Websites und Onlineshops waren ca. 95% der überprüften Sites und Shops auf Servern untergebracht, auf dem sich mehrere Websitebetreiber das gleiche Serverkonto bzw. die gleichen Dateiberechtigungen teilen. Wird eine Website auf einem solchen Server kompromittiert, wird es für Cyberkriminelle zum Kinderspiel, Zugriff auf die anderen Sites bzw. Webhostingpakete zu erhalten.
Sollten sich die zuvor beschriebenen Angriffswege als nicht verfügbar erweisen, wird das Admin-Passwort mit einem Satz von vordefinierten Anmeldeinformationen brutal erzwungen.
Die Malware Balada Injector führt Opfer zu Seiten, die mit Sprengfallen versehenen sind. Auf diesen Seiten werden die Opfer dazu verleitet, Push-Benachrichtigungen zu aktivieren oder gefälschte CAPTCHA-Prüfung auszuführen, um ihnen irreführende Inhalte bereitzustellen.
Was gegen die Malware Balada Injector hilft
Damit deine WordPress-Website oder dein -Onlineshop „safe“ bleibt, solltest du:
- WordPress immer auf dem neuesten Stand halten
- den Core-Code deiner Website/deines Shops auf Anomalien und Unregelmäßigkeiten überprüfen (manuell, da Schadcode nicht immer von Sicherheitsplugins und -modulen erkannt wird)
- den Core-Code und Scripte, z. B. JQuery, nach Malware und Backdoors durchsuchen
- in der Datenbank nach Anomalien und Unregelmäßigkeiten Ausschau halten und bereinigen
- die Konfigurationsdateien des Servers sicher anpassen und Sicherheitsdirektiven überarbeiten
- eine Firewall implementieren
- nicht verwendete und infizierte Plugins und Themes entfernen
- starke WordPress-Admin-Passwörter verwenden, ggf. das vorhandene Passwort erneuern
- 2-Faktor-Authentifizierung (2FA) aktivieren
- regelmäßig Backups erstellen (täglich, automatisiert)
Wenn du deine Website, dein Onlineshop oder dein Webangebot vor Malware und Hackerangriffen schützen sowie konsistent und sicherer gestalten und halten möchtest, sprich uns gerne an:
Wir unterstützen Unternehmen dabei, ihre Websites, Webanwendungen und Onlineshops in Sachen Sicherheit und Technik auf dem neuesten Stand zu halten und sicher zu gestalten. Wir führen Sicherheits-Checks für Websites, Webanwendungen, Onlineshops und Cloud-Dienste durch. Für kompromitierte, gehackte Websites und Onlineshops, bieten wir eine schnelle Notfallhilfe an. Dabei spielt es für uns keine Rolle, mit welchem Content-Management-System (CMS) deine Webanwendung erstellt wurde. Wir haben für nahezu jedes CMS die passende Lösung.
Wenn du uns kennenlernen oder Kontakt zu uns aufnehmen möchtest, ruf uns an oder sende uns eine E-Mail mit deiner Anfrage oder deinem Anliegen:
Münnecke & Vollmers GbR, Zum Bahnhof 27, 21698 Brest,
+49 4762 3639555, hallo@muennecke-vollmers.de