Malware: Soaksoak befällt tausende WordPress-Sites

Google warnt vor Soaksoak.ru (Screenshot: Leon Spencer / ZDNet.com).

100.000 Sites fielen den Angriffen bereits zum Opfer: Der Sicherheitsfirma Sucuri zufolge leiten die betroffenen Seiten auf die russische Domain Soaksoak.ru um. Diese verteilt weitere Schadsoftware. Ein verbreitetes Slideshow-Plug-in, das auch in Themes enthalten ist, dient als Angriffsstelle.

11.000 Domains stehen ab sofort auf einer schwarzen Liste von Google. Das teilte der Konzern nun mit. Demnach konnte die Malware-Kampagne “Soaksoak” zahlreiche WordPress-Sites befallen. Wie die Sicherheitsfirma Sucuri berichtet, fielen bereits über 100.000 Sites der Angriffswelle zum Opfer. Zudem seien Hunderttausende potenziell gefährdet.

Google warnt vor Soaksoak.ru (Screenshot: Leon Spencer / ZDNet.com).
Google warnt vor Soaksoak.ru (Screenshot: Leon Spencer / ZDNet.com).

Die Bezeichnung Soaksoak geht auf die Domain Soaksoak.ru zurück, weil die Malware auf sie umzuleiten versucht. Dort wartet wiederum eine mit Schadsoftware präparierte Website auf die Besucher, vor der Google ausdrücklich warnt.

Sucuri zufolge ermöglicht das kostenpflichtige “Premium WordPress Plug-in” Slider Revolution die Angriffe auf WordPress-Sites. Es ist zudem als RevSlider bekannt und soll mehrere Schwachstellen enthalten. Häufig nutzen Sites das Plug-in in einer nicht mehr aktuellen Version (4.1.4 oder älter) und wird oft zusammen mit WordPress-Themes installiert. Wie Threatpost anmerkt, ist die automatische Aktualisierung des Plug-ins meist deaktiviert, wenn es als Teil eines Themes installiert wird.

“Einige Website-Betreiber wissen nicht einmal, dass sie es haben, weil es im Paket zusammen mit ihren Themes kommt”, schreibt Daniel Cid, CTO und Gründer von Sucuri, in einem Blog. “Wir sind derzeit dabei, Tausende von Sites zu säubern. Wenn wir uns mit den Kunden unterhalten, haben viele gar keine Ahnung davon, dass das Plug-in sich in ihrer Installation befindet.”

Mehrstufiger Angriff

Die Sicherheitsfirma warnte schon Anfang September vor einer kritischen Schwachstelle in dem Plug-in, nachdem sie in diversen Untergrundforen enthüllt wurde. Demnach erfolgt die Soaksoak-Attacke in mehreren Stufen und platziert mehrere Hintertüren, wenn sie erfolgreich ist. Zunächst versucht sie eine der RevSlider-Schwachstellen zu nutzen, um die Datei wp-config.php herunterzuladen. Anschließend ermöglicht eine zweite Schwachstelle das Hochladen eines bösartigen Themes auf die Site, gefolgt vom Einschleusen der verbreiteten Filesman-Backdoor.

Eine zweite Hintertüre verändert die Datei swfobject.js und baut die Malware ein, die Besucher zu Soaksoak.ru umleitet. In Bildern legt sie teilweise weiteren Malware-Code ab. Auf diese Weise soll eine Entdeckung verhindert werden. Darüber hinaus kann Einrichtung neuer Administratorenkonten erfolgen, um langfristig noch mehr Kontrolle zu erlangen.

Sucuri bietet einen kostenlosen Online-Scanner, der Websites auf diese und andere Infektionen überprüft. Die Sicherheitsexperten warnen gleichzeitig vor der verbreiteten Empfehlung, einfach swfobject.js und template-loader.php zu ersetzen, um die Infektion zu beseitigen. Solange noch installierte Hintertüren vorhanden und die ursprünglichen Schwachstellen nicht beseitigt sind, sei mit einer erneuten Infektion zu rechnen – teilweise innerhalb von Minuten, wie von einigen Nutzern berichtet.

[mit Material von Bernd Kling, ZDNet.de]