Laut einem Bericht von GoDaddy der vergangenen Woche, haben auf WordPress-Seiten abzielende ClickFix-Kampagnen in diesem Jahr stark zugenommen. Bei der aktuellen ClickFix-Kampagne handelt es sich laut GoDaddy um eine neue Variante der gefälschten Browser-Update-Malware, die auch als ClearFake bekannt ist und im August 2023 entdeckt wurde. ClickFix wird über gefälschte WordPress-Plugins verbreitet. Diese scheinbar legitimen Plugins enthalten eingebettete Skripte, die den Webseitenbesuchern gefälschte Aufforderungen zur Browseraktualisierung übermitteln.
Die jüngste ClickFix-Variante wird seit Juni 2024 verfolgt. Bis heute wurde sie auf über 6.000 Websites weltweit entdeckt. Seit August 2023 wurden 25.000 Websites mit vorangegangenen Varianten von ClickFix infiziert.
Wie gehen die Akteure vor? Wie werden WordPress Websites kompromittiert?
Die böswilligen Akteure melden sich sich mit gestohlenen Anmeldeinformationen bei WordPress-Websites an und installieren gefälschte Plugins. Sobald die Plugins installiert sind, injizieren sie bösartiges JavaScript, das gefälschte Browser-Update-Malware enthält.
Wenn im Browser eines Benutzers während des Besuches einer kompromittierten Seite JavaScript ausgeführt wird, werden gefälschte Browser-Update-Benachrichtigungen aufgerufen und angezeigt, die zur Installation von Malware auf dem Computer des Nutzers führen. Bei der Malware handelt es sich in der Regel um Fernzugriffstrojaner und verschiedene InfoStealer wie Vidar Stealer und Lumma Stealer.
Wie die Bedrohungsakteure an die Anmeldeinformationen gelangen konnten, ist bisher noch unklar. GoDaddy weist jedoch darauf hin, dass es zu dem Diebstahl von Informationen durch frühere Brute-Force-Angriffe, Phishing und Malware gekommen sein könnte.
Was du jetzt tun solltest, wenn du eine Website oder einen Onlineshop auf Basis von WordPress betreibst
- Überprüfe im Frontend, ob gefälschte Warnungen angezeigt werden (in der Browser-Ausgabe deiner Website, die Besucher sehen). Ist das der Fall, solltest du sofort die installierten Plugins im Backend überprüfen und alle Plugins entfernen, die du nicht selbst installiert hast.
- Entferne Fake-Plugins, die weiter unten in der Liste aufgeführt sind.
- Ändere die Passwörter aller Admin-Benutzer. Verwende sehr starke Passwörter. Sie sollten einmalig sein und nicht für andere Dienste oder Anwendungen genutzt werden.
- Installiere und aktiviere eine Zwei-Faktor-Authentifizierung (2FA) in deinem WordPress-Backend. Die Zwei-Faktor-Authentifizierung sollte für alle Benutzer, nicht nur für Admins aktiviert werden.
- Installiere ein Firewall-Plugin in deinem WordPress-Backend.
- Passe die .htaccess-Datei deiner WordPress-Installation an und füge ggf. weitere Sicherheitsdirektiven, z. B. eine IP-Adressen-Beschränkung für Nutzer (Admins) des Backends, hinzu.
- Halte deine WordPress-Installation immer auf dem aktuellsten Stand.
- Überprüfe die installierten Plugins in deinem WordPress-Backend regelmäßig. Halte auch deine Plugins immer auf dem neuesten Stand.
Wenn du auf Nummer sicher gehen willst, beauftrage einen Experten für IT-Sicherheit einen Sicherheits-Check deiner WordPress-Website bzw. -Installation durchzuführen. Selbstverständlich kannst du dich diesbezüglich auch gerne an mich wenden. Telefonisch erreichst du mich unter +49 4762 3639555, via E-Mail an: hallo@teufelswerk.net.
Die nachfolgend aufgeführten WordPress-Plugins, sind schädliche Fake Plugins, die sofort entfernt werden sollten:
WordPress Fake Plugins |
---|
LiteSpeed Cache Classic |
MonsterInsights Classic |
Wordfence Security Classic |
Search Rank Enhancer |
SEO Booster Pro |
Google SEO Enhancer |
Rank Booster Pro |
Admin Bar Customizer |
Advanced User Manager |
Advanced Widget Manage |
Content Blocker |
Custom CSS Injector |
Custom Footer Generator |
Custom Login Styler |
Dynamic Sidebar Manager |
Easy Themes Manager |
Form Builder Pro |
Quick Cache Cleaner |
Responsive Menu Builder |
SEO Optimizer Pro |
Simple Post Enhancer |
Social Media Integrator |
Weitere technische Details zur ClickFix-Kampagne, kannst du dem Blog-Beitrag von GoDaddy entnehmen.
Quelle: GoDaddy