Das Sicherheitsunternehmen Sucuri warnt vor einer Zunahme gefälschter Cloudflare-DDoS-Schutzmeldungen (Distributed Denial-of-Service), die zur Auslieferung von Malware führen.
DDoS-Schutzaufforderungen sind Benachrichtigungen auf einer Website, die der Browser den Benutzern anzeigt, wenn überprüft wird, ob der Besucher tatsächlich ein Mensch und kein Bot ist. Diese Benachrichtigungen sind oft ein Ärgernis, aber sie sind notwendig, um sicherzustellen, dass bösartiger Datenverkehr gestoppt wird, bevor er sein Ziel erreicht.
Vor Kurzem entdeckten die Forscher von Sucuri einen Anstieg von JavaScript-Injektionen, die auf WordPress-Websites abzielen, um Besuchern gefälschte Cloudflare-DDoS-Schutzaufforderungen anzuzeigen.
Sobald der Benutzer auf das gefälschte Popup klickt, wird ein Fernzugriffstrojaner (RAT) in Form einer ISO-Datei auf seinen Computer heruntergeladen. Darüber hinaus wird das Opfer angewiesen, die Datei zu öffnen, um einen Bestätigungscode zu erhalten, um auf die Zielwebsite zuzugreifen.
Die ISO-Datei enthält eine als ausführbare Datei getarnte Verknüpfung, die PowerShell aus einer anderen Textdatei ausführt. Durch die ursprünglich legitime Anwendung NetSupport Manager, erlangen NetSupport RAT Angreifer die Fernsteuerung über den Computer des Opfers. Mit Hilfe der Fernsteuerung können die Angreifer zusätzliche Malware einsetzen, vertrauliche Informationen stehlen oder den Computer des Opfers in ein Botnet einbinden. Remote-Access-Trojaner (RATs) gelten als eine der schlimmsten Arten von Infektionen, die einen Computer treffen können, da sie den Angreifern die volle Kontrolle über das Gerät geben.
Das Opfer ist somit den Angreifern vollkommen ausgeliefert. Es ist also Vorsicht geboten. Website-Betreiber und -Besucher sollten jetzt alle Vorkehrungen treffen, um sich selbst zu schützen.
Sicherheitsvorkehrungen für Websitebetreiber, um das Risiko einer Infektion zu mindern:
- Halte die Software (WordPress, Plugins, Theme) auf deiner Website auf dem neuesten Stand
- Verwende ausschliesslich starke Passwörter
- Verwende die 2FA (2-Faktor-Authentifizierung) im Backend und für angemeldete Benutzer
- Platziere deine Website hinter einer Firewall oder sehr strengen .htaccess-Regeln
- Überprüfe die Datenbank und entferne schadhafte Einträge
- Überprüfe die Core-Files des WordPress-CMS und entferne schadhafte Dateien und Scripte
Sicherheitsmaßnahmen und -vorkehrungen für Website-Besucher:
- Stelle sicher, dass auf deinem Computer ein robustes Antivirenprogramm (nicht Kaspersky!) ausgeführt wird
- Stelle alle wichtigen Logins (Bank, Social Media, etc.) auf 2FA (2-Faktor-Authentifizierung) um
- Öffne keine fremden Dateien!
- Halte deinen Browser, dein Betriebssystem und deine Software auf deinem Computer auf dem neuesten Stand
- Verwende einen Skriptblocker in deinem Browser und ändere die Sicherheitseinstellung im Browser auf “streng”
Wenn du glaubst, dass deine Website von dieser Malware infiziert wurde oder wenn du deine Website vor einer Infektion schützen möchtest, helfen wir dir gerne weiter.