Abo
  • Services:

Phishing: Gefälschtes Wordpress-Plugin verbreitet Malware

Der Trick ist alt, der Schaden aber unter Umständen erheblich: Derzeit kursieren wieder Phishing-Mails, die zur Installation eines Gratis-Plugins für Wordpress auffordern. Dahinter steckt aber Malware, die nicht nur den Server des Blog-Administrators befallen kann.

Artikel veröffentlicht am ,
Phishing-Mails greifen Wordpress-Server an.
Phishing-Mails greifen Wordpress-Server an. (Bild: Wordpress)

Das Sicherheitsunternehmen Sucuri, spezialisiert auf die Überprüfung von Webservern, warnt vor einer neuen Runde von Phishing-Mails, die sich derzeit verbreiten. Die E-Mails versprechen, dass ein beliebtes Plugin zur Suchmaschinenoptimierung (SEO) für das Blogsystem Wordpress gratis zur Verfügung gestellt werde, das sonst 79 US-Dollar koste. Durch die vor allem in den USA üblichen Rabattaktionen vor Weihnachten, die als "Black Friday" oder "Cyber Monday" bekannt sind, soll der Anschein der Echtheit des Angebots erweckt werden.

Stellenmarkt
  1. Universität Passau, Passau
  2. Deutsche Bundesbank, Frankfurt am Main

Schon die URL in der E-Mail, durch die das Plugin heruntergeladen werden soll, muss jedoch stutzig machen: Sie verweist nicht auf einen Wordpress-Server, sondern auf von Sucuri nicht genannte Domains in Australien und Brasilien. Ebenso ist der Infektionsmechanismus nicht bekannt.

Die Software soll sich jedoch durch eine Backdoor Zugriff auf den Webserver mit Wordpress verschaffen und dort weiteren bösartigen Code zum Download anbieten. Dies soll in Form von Javascript-Exploits geschehen, um die Leser des Wordpress-Blogs zu infizieren. Dabei werden die Nutzer beim Besuch der Seite auch auf verschiedene andere Seiten umgeleitet, hinter denen sich Spam oder weitere Malware verbirgt.

Obwohl sich der Betreiber eines Wordpress-Blogs das gefälschte Plugin ausdrücklich herunterladen muss, haben das offenbar schon einige Blogger getan. Sucuri gibt an, bereits mehrere Installationen seiner Kunden von der Malware gesäubert zu haben.

Da das Blogsystem so verbreitet ist, gibt es immer wieder direkte Angriffe auf Wordpress. Bereits Anfang 2013 versuchten Kriminelle, mit Wörterbuchattacken Wordpress-Server zu übernehmen, um daraus ein Botnetz zu erstellen.



Anzeige
Spiele-Angebote
  1. 1,25€
  2. 14,99€
  3. (-76%) 11,99€
  4. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€

JoeHenson 05. Dez 2013

Du musst kein Web Admin sein, da genuegt einfach etwas gesunder Menschen verstand.


Folgen Sie uns
       


Nach E-Fail, was tun ohne sichere E-Mails - Livestream

Die E-Fail genannte Sicherheitslücke betrifft die standardisierten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME. Im Livestream diskutieren wir den technischen Hintergrund der zuletzt aufgedeckten Lücken und besprechen, was Nutzer nun tun können, wenn sie ihre Nachrichten weiter sicher verschicken wollen.

Nach E-Fail, was tun ohne sichere E-Mails - Livestream Video aufrufen
Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen
Datenschutz-Grundverordnung
Was Unternehmen und Admins jetzt tun müssen

Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.
Von Jan Weisensee

  1. IT-Konzerne Merkel kritisiert Pläne für europäische Digitalsteuer
  2. EU-Kommission Mehr Transparenz für Suchmaschinen und Online-Plattformen
  3. 2019 Schweiz beginnt UKW-Abschaltung

Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
Xbox Adaptive Controller ausprobiert
19 x Klinke, 1 x Controller, 0 x Probleme

Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
Von Andreas Sebayang

  1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
  2. AMD Freesync Xbox One erhält variable Bildraten
  3. Xbox One Streamer können Gamepad mit Spieler teilen

Steam Link App ausprobiert: Games in 4K auf das Smartphone streamen
Steam Link App ausprobiert
Games in 4K auf das Smartphone streamen

Mit der Steam Link App lassen sich der Desktop und Spiele vom Computer auf Smartphones übertragen. Im Kurztest mit einem Windows-Desktop und einem Google Pixel 2 klappte das einwandfrei - sogar in 4K.
Ein Bericht von Marc Sauter

  1. Valve Steam Spy steht nach Datenschutzänderungen vor dem Aus
  2. Insel Games Spielehersteller wegen Fake-Reviews von Steam ausgeschlossen
  3. Spieleportal Bitcoin ist Steam zu unbeständig und zu teuer

    •  /