Wer Zugang zur Verwaltungsschicht einer Website erlangt, kann laut Flare ein breites Spektrum an Aktionen ausführen: Backdoors und neue Administratorkonten zur dauerhaften Präsenz anlegen, Malware ausbringen, Root-Zugriff auf den Server erlangen oder Phishing-Kits als Subdomain unter dem legitimen Domainnamen einrichten. Ebenso lassen sich SMTP-Konten unter der Domain für Phishing- und Spam-Kampagnen erstellen oder sensible Daten wie personenbezogene Informationen und Geheimnisse aus Datenbanken abziehen.
In Shared-Hosting-Umgebungen kann ein einziger cPanel-Zugang Zugriff auf Dutzende Domains eröffnen; auf Organisationsebene lässt sich damit der gesamte Webauftritt kompromittieren. Da gültige Zugangsdaten verwendet werden, beginnt der Missbrauch oft unauffällig – mit ausgehendem Mailverkehr oder versteckten Datei-Uploads –, bevor er sichtbar wird.
Den Zugang verschaffen sich Angreifer historisch über eine Mischung aus Anmeldedaten-Missbrauch, der Kompromittierung von Webanwendungen und Angriffen auf Serverebene. Häufigster Weg sind gestohlene oder per Brute-Force erratene Zugangsdaten – etwa durch Phishing, Wiederverwendung von Passwörtern aus Datenlecks, Credential Stuffing und automatisierte Angriffe auf offene cPanel-Anmeldeportale. Auch Konfigurationsfehler wie ins Internet exponierte Dateien (config.yaml, .env), schwache Passwörter oder fehlende Mehr-Faktor-Authentifizierung begünstigen dies. Ein weiterer Pfad ist das Ausnutzen verwundbarer Websites auf demselben Server: Veraltete CMS-Plattformen wie WordPress, Joomla oder Drupal samt anfälliger Plugins und Themes erlauben das Hochladen von Web-Shells oder die Rechteausweitung.
Bei ihrer Sieben-Tage-Stichprobe mit über 200.000 Beiträgen stellte Flare fest, dass 90 Prozent davon Duplikate waren. Das deute auf einen stark standardisierten Markt hin, in dem einige Hundert einzigartige Angebote über verschiedene Kanäle tausendfach verstärkt werden – vermutlich mithilfe vorgefertigter Anzeigen und automatisierter Repost-Werkzeuge. Verkäufer bewerben dieselbe Ware wiederholt in mehreren Gruppen, oft mit Marketingsprache wie „frisch", „hohe Qualität", „spam-sauber" oder „bereit zum Versand".
cPanels werden meist im Paket verkauft, weil der Erstzugang vielfach bereits entdeckt, Zugangsdaten widerrufen oder der Zugriff anderweitig eingeschränkt sein könnte. Käufer kalkulieren dieses Risiko ein, was sich im Preis- und Mengenmodell widerspiegelt. Premium-Pakete kosten laut Flare 75 US-Dollar für 100, 289 US-Dollar für 500 und 645 US-Dollar für 1.000 Zugänge; einfachere Ware liegt bei 23 US-Dollar für 1.000, 42 US-Dollar für 3.000 und 58 US-Dollar für 5.000 Stück.
Die Qualitätsstaffelung folgt der wahrgenommenen Glaubwürdigkeit: Vertrauenswürdige Top-Level-Domains wie .gov oder .mil gelten als besonders wertvoll, da Phishing-Kampagnen über solche Domains höhere Erfolgschancen haben. Domains wie .xyz oder .net werden dagegen als minderwertig eingestuft. Als Premium definierten manche Angebote zudem Panels mit guten SEO-Werten und renommierten Server-Anbietern. Ein aktiver SMTP-Server erhöht den Preis, weil sich darüber E-Mails von einer legitimen Domain ohne sofortige Sperren oder Blacklisting versenden lassen, was Zustellraten verbessert. Kompromittierte cPanels von Hosting-Firmen oder Domains aus den USA oder der EU sind teurer, besonders wenn sie für Phishing genutzt werden.
Zum Schutz empfiehlt Flare Mehr-Faktor-Authentifizierung für alle Hosting-Verwaltungskonten, starke und einzigartige Passwörter sowie eine Beschränkung des Administratorzugriffs nach IP-Adresse. Ausgehender SMTP-Verkehr sollte laufend überwacht, die Dateiintegrität kontrolliert und neu angelegte Hosting-Konten, unerwartete Cron-Jobs oder Konfigurationsänderungen beobachtet werden. Ebenso wichtig sei die Überwachung auf offengelegte Zugangsdaten in Stealer-Logs und Untergrundmärkten, da Hosting-Daten nach Infektionen häufig gehandelt werden. CMS-Plattformen und ihre Plugins sollten vollständig gepatcht, ungenutzte Dienste deaktiviert und das Prinzip der geringsten Rechte angewendet werden.
