Tarnkappen-Angriff auf den Checkout: Neue Formjacking-Malware zielt auf WooCommerce-Shops

Eine neuartige Formjacking-Malware nimmt gezielt E-Commerce-Plattformen ins Visier – mit ausgeklügelten Methoden und beunruhigend hoher Tarnung.

Das Wordfence Threat Intelligence Team hat eine neue Welle von Formjacking-Angriffen identifiziert, die sich gezielt gegen Online-Shops auf WooCommerce-Basis richten. Ziel der Malware: Die unbemerkte Abgreifung sensibler Zahlungsinformationen – darunter Kreditkartendaten, Adressen und E-Mail-Konten der Kundschaft.

Anders als herkömmliche Card-Skimmer, die überlagerte Eingabemasken einsetzen, verschmilzt die neue Schadsoftware optisch und funktional nahezu nahtlos mit dem legitimen Zahlungsprozess. Sie ahmt nicht nur das Design der WooCommerce-Checkout-Seite nach, sondern integriert sich direkt in deren Workflow – inklusive formatiertem HTML, vertrauten Eingabefeldern und täuschend echten SVG-Zahlungssymbolen.

Hochentwickelte Tarnung und ausgefeilte Technik

Die Malware injiziert raffiniert verschleiertes JavaScript, das sich optisch unauffällig in den bestehenden Website-Code einfügt. Aktiviert wird es gezielt auf Checkout-Seiten, die per URL-Muster erkannt werden. Über den lokalen Speicher des Browsers sammelt das Skript sensible Daten – von Kartennummern bis zu persönlichen Informationen – und hält sie auch über Sitzungsgrenzen hinweg verfügbar.

Zur unauffälligen Datenübertragung nutzt die Malware die navigator.sendBeacon()-API. Diese erlaubt es, Informationen im Hintergrund an externe Command-&-Control-Server zu senden – ohne auffällige Netzwerkaktivität oder Einträge in Browser-Entwicklertools zu hinterlassen. Ein ausgeklügeltes Anti-Forensik-Konzept verzögert die Exfiltration, um den Datenklau zeitlich zu verschleiern.

Infektion über kompromittierte Admin-Konten

Nach aktuellen Erkenntnissen erfolgt die Erstinfektion meist über gehackte WordPress-Administratorkonten. Die Angreifer schleusen ihren Code über beliebte Plugins wie Simple Custom CSS and JS ein und nutzen dabei zwischengespeicherte Seiten oder gespeicherte Plugin-Einstellungen zur dynamischen Code-Injektion. Besonders tückisch: Die Malware operiert unabhängig von klassischen PHP-Backdoors und ist damit schwerer aufzuspüren.

Kommentare im Code deuten darauf hin, dass die Angriffe weniger auf Schwachstellen in den Plugins selbst, sondern vielmehr auf deren missbräuchliche Nutzung abzielen. Die schädliche JavaScript-Payload residiert meist direkt in der Datenbank oder in Cache-Dateien – ein Indiz für eine gezielte, manuelle Platzierung durch Angreifer mit erweiterten Rechten.

Der Malware-Autor hat den localStorage-Mechanismus des Browsers, der normalerweise von Websites verwendet wird, um Benutzereinstellungen zu speichern, umfunktioniert, um gestohlene Daten unbemerkt zu speichern und den Zugriff auch nach dem Neuladen der Seite oder beim Verlassen der Checkout-Seite aufrechtzuerhalten.

Durch die Speicherung der erfassten Zahlungskartendaten und Rechnungsinformationen in localStorage anstatt nur einmal während der Formularübermittlung, hat die Malware mehrere Vorteile:

• Persistenz über Sitzungen hinweg: Selbst wenn der Benutzer den Browser-Tab schließt oder den Browser vollständig neu startet, bleiben die gestohlenen Anmeldedaten für die Malware zugänglich, sobald er zur kompromittierten Website zurückkehrt.
• Resilienz gegenüber Unterbrechungen: Wenn die Netzwerkverbindung während der ersten Erfassung unterbrochen wird, gehen die gestohlenen Daten nicht verloren, sondern bleiben sicher gespeichert, bis die Verbindung wiederhergestellt ist.
• Anti-Forensik-Fähigkeiten: Indem die Malware steuert, wann Daten übertragen werden, anstatt sie sofort zu senden, kann sie die Verbindung zwischen der Formularübermittlung durch den Benutzer und dem Exfiltrationsvorgang besser verschleiern, sodass sie durch eine Zeitachsenanalyse schwerer zu erkennen ist.

Quelle: Wordfence

Diese Technik zeigt, wie Angreifer legitime Webtechnologien, die speziell für den Komfort der Benutzer entwickelt wurden, für Zwecke missbrauchen, die die Sicherheit und Privatsphäre direkt untergraben.

Nach dem Klicken auf die Schaltfläche „Bestellung aufgeben“ sendet das Skript die gesammelten Kreditkartendaten und persönlichen Informationen an die Hacker, während die normale Bestellabwicklung fortgesetzt wird.

Schutzmaßnahmen und Reaktion

Wordfence hat bereits am 25. April 2025 eine Signatur zur Erkennung der Malware entwickelt. Diese wurde Premium-Nutzern ab dem 6. Mai zur Verfügung gestellt; Nutzer der kostenlosen Version erhalten sie ab dem 5. Juni. Die Threat-Datenbank umfasst mittlerweile über 4,3 Millionen schädliche Samples und blockiert laut Anbieter über 99 Prozent der Bedrohungen.

Zur Prävention raten Sicherheitsexperten zu folgenden Maßnahmen:

• Verwendung von Script-Blockern wie uBlock Origin,

• Überwachung des Netzwerkverkehrs während der Bezahlvorgänge,

• Nutzung virtueller oder temporärer Kreditkarten,

• regelmäßige Kontrolle von Kontoauszügen sowie

• das Löschen von Browserdaten nach Online-Zahlungen.

Fazit

Die neue Formjacking-Malware stellt eine gefährliche Weiterentwicklung bisheriger Angriffsmethoden dar. Sie nutzt legitime Webtechnologien, um sich unsichtbar in alltägliche Zahlungsvorgänge einzuklinken – mit dem Ziel, möglichst lange unentdeckt zu bleiben. Der Fall zeigt einmal mehr, wie wichtig kontinuierliche Sicherheitsupdates und proaktive Schutzmaßnahmen im E-Commerce sind.

Redaktion AllAboutSecurity

---

Bild/Quelle: https://depositphotos.com/de/home.html