Das Content Management System (CMS) WordPress erfreut sich bei Privatpersonen wie auch bei Unternehmen großer Beliebtheit: Es erleichtert und beschleunigt die Umsetzung und Pflege einer eigenen, professionell wirkenden Website nebst Erweiterung durch passende Plugins. Eben diese Beliebtheit macht WordPress allerdings auch für Cybergangster interessant. Sicherheitsforscher haben jetzt ihre Erkenntnisse zu einer bereits seit 2017 bestehenden Kampagne veröffentlicht, in deren Zuge es Kriminellen gelang, Schadcode auf mindestens Zehntausende Webserver weltweit zu schleusen.

Den Code versteckten die Cybergangster in sogenannten "Premium Themes" für WordPress. Ein Theme ist eine Art Vorlage, die Design, Layout und auch einen Teil der Funktionalität der Website vorgibt. Die "Premium"-Ausgaben solcher Themes sind normalerweise kostenpflichtig und sollen sich durch eine professionellere Programmierung nebst Design, Features etc. gegenüber den kostenlosen Varianten auszeichnen. Die Schattenseite ist, dass ein vorgefertigte Theme gerade aufgrund des oftmals großen Funktionsumfangs eine Vielzahl von Skripten und anderen (unübersichtlich strukturierten) Dateien mitbringt, die von ihren Käufern eher selten genauer unter die Lupe genommen werden.

Geklaute Themes mit unerwünschten Extras

Dies spielte den Kriminellen in die Hände. Laut dem Forscherteam der IT-Sicherheitsfirma Prevailion boten sie verseuchte Premium-Themes auf rund 30 eigens von ihnen zu diesem Zweck eingerichteten Plattformen an. Offenbar warben sie vorwiegend damit, normalerweise kostenpflichtige – also wohl von anderen Plattformen und Entwicklern geklaute – Premium-Themes gratis anzubieten.

Von den Plattformen aus sollen die Themes auf mindestens 20.000 Webservern gelandet sein, unter denen das Forscherteam – beziehungsweise die von Prevailion betriebene Suchmaschine für Kompromittierungshinweise – ein Fünftel kleinen und mittleren Unternehmen aus aller Welt zuordnen konnte.

Ein Screenshot zweier Plattformen, auf denen die Themes angeboten wurden. (Bild: blog.prevailion.com)

Backdoor, Ad-Fraud und Malvertising

Wie das Team von Prevailion in einem Blogeintrag berichtet, installierten sich Betroffene mit den präparierten Premium-Themes unwissentlich eine Backdoor mit, über die die Kriminellen Admin-Accounts hinzufügen, aber auch E-Mail-Accounts und WordPress-Passworthashes der bestehenden Admins auslesen konnten. Weiterhin luden die präparierten Themes zusätzlichen (Schad-)Code von Command-and-Control-Servern nach.

In dieser Liste der 30 Fake-Shops mit den verseuchten Themes fehlt noch "Vestathemes.com". (Bild: blog.prevailion.com)

Die Websites mit den präparierten Themes wurden in das Werbenetzwerk "Propeller Ads" eingebunden. Besuchern wurden Werbeanzeigen angezeigt; jeder Klick auf eine solche Anzeige spülte ein wenig Geld in die Kassen der Gangster. Nach Beobachtungen der Forscher spielte das Werbenetzwerk allerdings nicht nur Werbung aus, sondern zeigte Website-Besuchern auch Aufforderungen an, bestimmte (angeblich veraltete) Software-Komponenten zu aktualisieren.

Welche Malware sich Nutzer durch Anklicken der Aufforderungen auf ihre Rechner holten, geht aus dem Blogeintrag nicht hervor. Allerdings habe ein anderes Forscherteam erst kürzlich beobachtet, wie "Propeller Ads" Besucher zu anderen Domains umleitete, auf denen das Exploit Kit "Fallout" lauerte. Unter Ausnutzung von Sicherheitslücken etwa in Flash und Windows platzierte Fallout in der Vergangenheit unter anderem die (mittlerweile nicht mehr aktive) Ransomware GandCrab auf verwundbaren Rechnern.

Lieber auf Nummer sicher gehen

Wer mit dem Gedanken spielt, künftig ein Premium-Theme zu installieren, sollte sich auf der offiziellen WordPress-Seite oder auf bekannten Plattformen nach seriösen Angeboten umschauen, statt die Sicherheit seines Webservers und auch die der Website-Besucher für einen verhältnismäßig kleinen Geldbetrag aufs Spiel zu setzen.

(ovw)