20.02.2018 | Bochum, Autor: Tim Berghoff

Raubkopiertes Wordpress-Addon macht Webseiten zur Malwareschleuder

G DATA-Forscher analysiert eine weit verbreitete Backdoor

Wordpress ist ein beliebtes Werkzeug zum Erstellen von Webseiten. Zahlreiche Erweiterungen machen eigene Programmierkenntnisse überflüssig. G DATA empfiehlt, bei der Auswahl seiner Erweiterungen vorsichtig zu sein.

Eine eigene Webseite aufzusetzen war lange mit viel Handarbeit verbunden. Moderne Werkzeuge machen das Erstellen von Webseiten jedoch zu einem Kinderspiel – es gibt zahllose vorgefertigte Designs, in die lediglich eigene Texte und Bilder eingefügt werden müssen. Es gibt sehr viele kostenlose und auch kostenpflichtige Erweiterungen für Wordpress.
Preisbewusste Webmaster versuchen natürlich oft, solche Kosten so weit wie möglich zu vermeiden.

Kosten(los)-Falle?

Bestimmte kostenpflichtige „Themes“, also Vorlagen, sind sehr beliebt. Es ist daher nicht überraschend, dass auch Raubkopien von ihnen im Netz zu finden sind. Einige dieser Raubkopien kommen jedoch mit einigen versteckten „Zusatzfeatures“ daher, die einen Webseitenbetreiber in Schwierigkeiten bringen und die eigene Webseite zur Malware-Schleuder umfunktionieren können. Von all dem bekommen der Webseitenbetreiber nichts mit.

Suchmaschinenoptimierung

Jeder, der eine Internetseite ernsthaft betreibt, möchte in den Suchergebnissen bei Google so weit wie möglich oben stehen. Eine Suchmaschine legt hier diverse Kriterien zugrunde, wie etwa die Häufigkeit, mit der von anderen Seiten auf die zu bewertende Seite verlinkt wird. Viele Firmen beschäftigen eigens einen oder mehrere Mitarbeiter, deren Aufgabe es ist, die Webseite möglichst weit oben in den Suchergebnissen zu platzieren. Diese Tätigkeit nennt sich Suchmaschinenoptimierung (Search Engine Optimization, kurz SEO). Eine bestimmte Version eines Wordpress-Themes macht sich SEO-Techniken zunutze, um die Verbreitung ebendieser Erweiterung zu erhöhen.

Installiert jemand die Erweiterung auf seinem Wordpress-System, werden bei jedem Aufrufen der Seite zusätzliche Inhalte nachgeladen, über die der Autor der kopierten Version die Kontrolle hat - auch das Nachladen von bösartigem Code ist ohne Weiteres möglich. Somit würde die Webseite unfreiwillig zur Malwareschleuder.

Andere Versionen dieser Backdoor erzeugen sogar automatisch ein verstecktes Administratorkonto in Wordpress – so kann ein Angreifer jederzeit auf das System zugreifen und beispielsweise nach eigenem Ermessen Schadcode direkt auf der kompromittierten Webseite hinterlegen.

Mehr Informationen

Wer sich die Funktion und die Machenschaften dieser Wordpress-Malware genauer anschauen will, kann durch einen Klick auf die unten stehende Vorschau die ausführliche Analyse herunterladen und die Details dort nachlesen (Analyse in englischer Sprache).


Share this article

G DATA | Trust in German Sicherheit