Hackerangriff auf WordPress-Websites: Eingeschleuster PHP-Code verbreitet schädliche Werbung

IT-Spezialisten von Sucuri entdeckten kürzlich bei einem Kunden verdächtige JavaScript-Ladevorgänge auf einer WordPress-Seite: Im Browser erschienen Drittanbieter-Skripte, die der Betreiber nie installiert hatte. Eine anschließende Untersuchung ergab, dass die Infektion auf eine böswillige Änderung der Datei functions.php des aktiven Themes zurückzuführen war. Der eingeschleuste PHP-Code lud im Hintergrund externes JavaScript von Domains, die von Angreifern kontrolliert werden, und fügte diese Skripte in das Frontend der Website ein.

Hintergrund der Sicherheitsverletzung

Sie fanden ein verdächtiges Skript, das auf der Website des Kunden geladen wurde. Als Sucuri den Quellcode der Seite ansahen, fanden sie Folgendes:

Diese eine Codezeile war der erste Hinweis. Bei weiteren Recherchen zeigte sich, dass die betreffende JavaScript-Datei zum Zeitpunkt der Untersuchung auf mindestens 17 Websites geladen wurde. Eine Überprüfung auf VirusTotal bestätigte den Verdacht: Die Domain war bereits von 17 Sicherheitsanbietern blockiert.

Bei der anschließenden Analyse der Website-Dateien entdeckten die Ermittler am Ende der functions.php-Datei des Themes einen unauffälligen Codeblock. Diese kleine, harmlos wirkende Funktion stellte sich als Einstiegspunkt für die gesamte bösartige Werbekampagne heraus.

Indikatoren für Kompromittierung (IoCs)

• brazilc[.]com
• porsasystem[.]com

Analyse der Malware

Remote Loader in functions.php
Am Ende der functions.php des Themes entdeckten die Untersuchenden die Funktion ti_custom_javascript(). Auf den ersten Blick wirkt sie harmlos.
Die eingeschleuste Funktion wird bei jedem Seitenaufruf über wp_head ausgeführt und kontaktiert dabei eine Remote-URL. Der ursprüngliche PHP-Code fungiert lediglich als Schlüssel — die eigentliche Gefahr steckt in den Inhalten, die er nachlädt.

Bösartige Antwort

Der Code baut eine POST-Verbindung zum Command-and-Control-Server (C&C) unter hxxps://brazilc[.]com/ads[.]php auf und nutzt echo, um die erhaltene Antwort direkt in den <head> des HTML-Dokuments einzufügen.
Bei einer manuellen Abfrage des Remote-Endpunkts lieferte dieser eine dynamische Nutzlast, die einen zweigleisigen Angriff ausführt:

1. Ein externes Skript von porsasystem[.]com/6m9x[.]js dient als Hauptkomponente für die beobachteten Weiterleitungen und Popups. Die Domain fungiert als Traffic-Verteiler und lädt weitere bösartige Skripte nach, die erzwungene Weiterleitungen auslösen können.

2. Das verbleibende, umfangreiche JavaScript erzeugt einen versteckten 1×1-Pixel-Iframe und injiziert dort Code, der eine legitime Cloudflare-Ressource (cdn-cgi/challenge-platform/scripts/jsd/main.js) nachahmt. Mit dieser Technik versuchen Angreifer, Schutzmechanismen zu umgehen oder das Verhalten von Sicherheitslösungen zu manipulieren.

Dabei werden die Attribute data-cfasync='false' und async verwendet, um Interferenzen mit Cloudflare Rocket Loader zu vermeiden und das Skript asynchron zu laden, sodass es das Seitenrendering nicht blockiert.

Grafiken Quelle: Sucuri

Warum ist das gefährlich?

Website-Besucher können über die infizierte Seite Drive-by-Malware erhalten, darunter gefälschte Cloudflare-Verifizierungen, die das System oder persönliche Daten kompromittieren können.

Abhilfemaßnahmen

Es gibt mehrere Maßnahmen, die Website-Betreiber vorbeugend ergreifen sollten:

• Software aktuell halten: Plugins, Themes und die gesamte Website-Software stets auf dem neuesten Stand halten und aktuelle Patches installieren, um bekannte Sicherheitslücken zu schließen. Auch Besucher sollten ihre Browser und Betriebssysteme aktuell halten.

• Regelmäßig nach Malware suchen: Sowohl auf Server- als auch auf Client-Seite nach bösartigen Injektionen, Backdoors oder SEO-Spam prüfen.

• Starke Passwörter verwenden: Für alle Konten, einschließlich sFTP, Datenbanken, cPanel und Admin-Benutzer, eindeutige und sichere Passwörter verlangen.

• Protokolle überwachen: Logs regelmäßig kontrollieren, um ungewöhnliches oder verdächtiges Verhalten zu erkennen. Der Einsatz eines Dateiintegritätsüberwachungssystems kann zusätzliche Sicherheit bieten.

• Web Application Firewall (WAF) einsetzen: Firewalls helfen, schädliche Bots abzuwehren, Brute-Force-Angriffe zu blockieren und Angriffe frühzeitig zu erkennen – Funktionen, die beispielsweise die Sucuri-Firewall bietet.

Unsere Leseempfehlungen

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky