MalwareHackerangriffeSchwachstellen

WordPress-Malware versteckt sich in Steam-Profilen: Fast 2.000 Websites betroffen

Von CyberDeutsch Redaktion
WordPress-Malware versteckt sich in Steam-Profilen: Fast 2.000 Websites betroffen
Zusammenfassung

Eine raffinierte Malware-Kampagne hat knapp 2.000 WordPress-Websites infiltriert und nutzt dabei eine überraschend unauffällige Tarnung: Steam-Community-Profile. Die Angreifer verstecken Befehle für ihre Kommando- und Kontrollserver in scheinbar harmlosen Kommentaren, indem sie unsichtbare Unicode-Zeichen als Träger für malicious Payloads einsetzen. Diese Technik ist besonders tückisch, da sie traditionelle Erkennungsmethoden umgeht und dem Angreifer erspart, eine separate Infrastruktur für Command-and-Control-Server zu betreiben. Die Sicherheitsingenieure von GoDaddy, die die Kampagne seit Juli 2025 untersuchen, haben bislang Malware auf etwa 1.980 WordPress-Seiten nachgewiesen. Der initiale Infektionsvektor ist noch unklar, könnte aber von gestohlenen Admin-Anmeldedaten über kompromittierte FTP-Zugänge bis zur Ausnutzung von Sicherheitslücken in WordPress-Plugins reichen. Die Malware nutzt bei jedem Seitenladevorgang die versteckte Kodierung, um schließlich eine Backdoor zu installieren, die speziellen HTTP-Anfragen mit einem bestimmten Authentifizierungs-Cookie ausführt. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhöhtes Risiko bei nicht ausreichend gepflegten WordPress-Installationen.

Die Sicherheitsingenieure von GoDaddy haben die Kampagne detailliert analysiert und ein ausgefeiltes Versteck-System entdeckt: Cyberkriminelle haben ein raffiniertes Encodierungssystem entwickelt, das unsichtbare Unicode-Zeichen nutzt. Diese Zeichen sind für das menschliche Auge unsichtbar, enthalten aber die eigentlichen Malware-Befehle. Sie sind in scheinbar harmlosen Kommentaren auf Steam-Profilen versteckt, die wie ASCII-Art aussehen.

Die Funktionsweise ist bemerkenswert: Die erste Infektionsstufe nutzt WordPress-Seitenabrufe, um auf spezifische Steam-Profile zuzugreifen und Text aus Kommentaren zu extrahieren. Ein spezieller Decoder ignoriert alle sichtbaren Zeichen und mappt die sechs unsichtbaren Unicode-Zeichen auf entsprechende Zahlen, die dann in binäre Darstellung umgewandelt werden. Das Ergebnis ist ein vollständiger Payload.

Dieser Payload wird verwendet, um eine URL zu konstruieren – etwa hello-mywordl[.]info – die JavaScript-Code bereitstellt, der auf jeder WordPress-Frontend-Seite eingespritzt wird. Die heruntergeladene Malware tarnt sich dabei geschickt als legitime JavaScript-Bibliotheken wie “asahi-jquery-min-bundle” oder “lodash.core.min.js”.

Die letzte Stufe installiert eine Backdoor, die auf speziell gestaltete POST-Anfragen reagiert, die ein bestimmtes Authentifizierungs-Cookie enthalten. Mit dem Cookie “tEcaKKXEsb” können Angreifer Base64-kodiertes PHP-Code via POST-Parameter einschleusen.

Die Malware nutzt zahlreiche Evasions-Techniken: obfuskierte Strings mit Oktal- und Hex-Escapes, randomisierte Funktionsnamen, gefälschter deaktivierter Log-Code und Standard-WordPress-APIs, die alles normal aussehen lassen.

Website-Betreiber sollten gezielt nach Steam-Community-URL-Verweisen, verdächtigen externe JavaScript-Injektionen und Verbindungen zu Steam-Servern suchen. Weitere Indikatoren sind unsichtbare Unicode-Zeichen, verdächtige transient_caption-Cache-Einträge und deaktivierte SSL-Verifikation in cURL-Anfragen.

GoDaddy empfiehlt dringend: Restores aus bekanntermaßen sauberen Backups vor dem Infektionsdatum durchführen. Sollte dies unmöglich sein, muss die manuelle Reinigung gründlich sein – Angreifer können entfernten Code über die Backdoor neu installieren, wenn noch eine Komponente aktiv ist.

Ähnliche Artikel