Zunahme von Malware-Sichtungen bei GoDaddy Managed Hosting

16. März 2022
Zunahme von Malware-Sichtungen bei GoDaddy Managed Hosting

Heute, am 15. März 2022, hat das Wordfence Incident Response Team unser Threat Intelligence Team über eine Zunahme von infizierten Websites informiert, die auf GoDaddy's Managed WordPress Service gehostet werden. Dazu gehören MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet und Host Europe Managed WordPress Sites. Die betroffenen Websites haben eine fast identische Hintertür in der Datei wp-config.php eingefügt. Von den 298 Websites, die seit dem 11. März vor 5 Tagen mit dieser Backdoor infiziert wurden, werden mindestens 281 bei GoDaddy gehostet.

Seit dem 11. März haben wir einen allgemeinen Anstieg der infizierten Websites festgestellt:

Die fragliche Backdoor ist seit mindestens 2015 im Einsatz. Sie generiert spammige Google-Suchergebnisse und enthält auf die infizierte Website zugeschnittene Ressourcen. Die Haupt-Backdoor wird ganz am Anfang der wp-config.php eingefügt und sieht wie folgt aus:

Die entschlüsselte Version der Hintertür sieht wie folgt aus:

Und weiter...

Mechanismus der Funktionsweise

Wenn eine Anfrage mit einem Cookie, das auf einen bestimmten base64-kodierten Wert gesetzt ist, an die Website gesendet wird, lädt die Backdoor eine Spam-Link-Vorlage von einer Command-and-Control-Domain (C2) herunter - in diesem Fall t-fish-ka[.]ru - herunter und speichert sie in einer verschlüsselten Datei mit einem Namen, der dem MD5-Hash der infizierten Website entspricht. Die verschlüsselte Datei für "examplesite.com" würde zum Beispiel folgendermaßen heißen 8c14bd67a49c34807b57202eb549e461heißen, was ein Hash dieser Domain ist.

Die C2-Domain hat zwar eine russische TLD, aber wir haben keine Hinweise darauf, dass diese Angriffskampagne politisch motiviert ist oder mit der russischen Invasion in der Ukraine zu tun hat. Die Domain zeigt eine leere Webseite an, aber im Jahr 2019 wurden scheinbar nicht jugendfreie Inhalte angezeigt, möglicherweise mit einem Affiliate-Marketing-Ansatz.

Die verschlüsselte Datei, die heruntergeladen wird, enthält eine Vorlage, die auf dem Quellcode der infizierten Website basiert, aber mit Links zu pharmazeutischem Spam versehen ist. Diese Spam-Link-Vorlage wird immer dann angezeigt, wenn die Website aufgerufen wird.

Ein Ausschnitt der verschlüsselten Spam-Link-Vorlage sieht so aus:

Wir haben den Einbruchsvektor für diese Kampagne noch nicht bestimmt, aber Letztes Jahr hat GoDaddy bekannt gegeben, dass ein unbekannter Angreifer unbefugten Zugriff auf das System erlangt hat, das für die Bereitstellung der Managed WordPress-Sites des Unternehmens verwendet wird, wodurch bis zu 1,2 Millionen WordPress-Kunden betroffen waren..

Wenn deine Website auf der Managed WordPress-Plattform von GoDaddy gehostet wird (dazu gehören MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet und Host Europe Managed WordPress Sites), empfehlen wir dir dringend, die Datei wp-config.php deiner Website manuell zu überprüfen oder einen Scan mit einer Malware-Erkennungslösung wie dem kostenlosen Wordfence-Scanner durchzuführen, um sicherzustellen, dass deine Website nicht infiziert ist.

Wenn deine Seite infiziert ist, musst du sie säubern lassen und eventuell auch Spam-Suchmaschinenergebnisse entfernen. Wir bieten Anleitungen, wie du deine eigene gehackte WordPress-Website reinigen kannst. Wenn du möchtest, dass unser Incident Response Team deine Website für dich säubert, kannst du dich anmelden für Wordfence Pflege und wir werden uns für dich darum kümmern.

Wenn du jemanden kennst, der das Managed WordPress Hosting von GoDaddy nutzt, bitten wir dich, diesen Hinweis weiterzuleiten, denn es kann lange dauern, bis man sich von bösartigen Suchmaschinenergebnissen erholt, und schnelles Handeln kann helfen, den Schaden zu minimieren.

Wir haben uns mit dem Sicherheitsdienst von GoDaddy in Verbindung gesetzt und ihnen angeboten, zusätzliche Informationen weiterzugeben. Sie haben sich bis zur Veröffentlichung nicht geäußert.

Alle in diesem Beitrag erwähnten Produkt- und Firmennamen sind Marken oder eingetragene Marken der jeweiligen Inhaber. Ihre Verwendung bedeutet nicht, dass sie mit diesen Unternehmen verbunden sind oder von ihnen unterstützt werden.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/03/increase-in-malware-sightings-on-godaddy-managed-hosting/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung