Sansec entdeckte den Angriff am Wochenende. Nach den Erkenntnissen des Unternehmens wurden die manipulierten Skripte über das CDN von Awesome Motive verteilt und auf betroffenen Websites unbemerkt nachgeladen. Für OptinMonster und TrustPulse geschah dies am Freitag in einem kurzen Zeitfenster zwischen 22:17 UTC und 22:42 UTC. Bei PushEngage wurde bösartiger JavaScript-Code laut Sansec noch bis Samstag 19:02 UTC ausgeliefert.

Die Schadkette setzte erst ein, wenn ein WordPress-Administrator eine Seite der kompromittierten Website besuchte. Dann erfasste die Malware Authentifizierungs-Token und Nonces und nutzte diese, um ein betrügerisches Administratorkonto anzulegen. Danach installierten die Eindringlinge ein sich selbst verbergendes Backdoor-Plugin und richteten einen Kommunikationskanal zu einer Domain ein, die Tidio nachahmte, um neu abgegriffene Daten zu übermitteln.

Dieses Plugin verschaffte den Angreifern laut Sansec umfassenden Fernzugriff auf die kompromittierten Websites. Dazu gehörten eine Web-Shell mit der Bezeichnung „WPM File Manager & Shell“ sowie die Ausführung beliebigen PHP-Codes. Damit erhielten die Angreifer die vollständige Kontrolle über übernommene Websites.

Sansec zufolge wechseln die Betreiber die Tarnung des Plugins, während die Logik trotz Umbenennungen Byte für Byte identisch bleibt. Beobachtet wurde die Schadsoftware demnach unter den Namen „Content Delivery Helper“ mit dem Paketnamen content-delivery-helper in Version 2.7.1 sowie aktuell als „Database Optimizer“ mit dem Paketnamen database-optimizer in Version 2.9.4.

Awesome Motive veröffentlichte dazu heute einen Sicherheitshinweis. Darin erklärt das Unternehmen, dass Hacker nach Ausnutzung einer bekannten Schwachstelle im UpdraftPlus-Plugin Zugriff auf einen Server in seiner Umgebung erlangten. Dieser Server habe eine Marketing-Website gehostet und sei weder mit der Produktionsinfrastruktur noch mit den Datensystemen des Unternehmens verbunden gewesen. Allerdings seien dort Zugangsdaten für das CDN-Konto hinterlegt gewesen, die die Angreifer entwendeten.

Mit dem gestohlenen CDN-API-Schlüssel veränderten die Täter nach Angaben von Awesome Motive JavaScript-Dateien, die über das CDN verteilt wurden. Dadurch luden Websites unauffällig schädlichen Code direkt vom CDN nach. Das Unternehmen berichtet, die bösartigen Skripte seien für OptinMonster und Trust Pulse nur kurzzeitig am 12. Juni ausgeliefert worden; eine Auswirkung auf PushEngage bestätigte Awesome Motive dabei nicht.

Nach eigenen Angaben hat Awesome Motive die Marketing-Seite bereinigt, auf einen neuen Server migriert und alle Zugangsdaten einschließlich des CDN-API-Schlüssels ausgetauscht. Zudem betont der Anbieter, dass weder die Anwendungsserver noch der Quellcode oder die Systeme kompromittiert wurden, auf denen OptinMonster- und TrustPulse-Kontoinformationen gespeichert sind. Es gebe keine Hinweise darauf, dass Kontodaten oder dort gespeicherte personenbezogene Informationen abgerufen wurden.

Entfernt wurde der schädliche Inhalt zwar inzwischen, doch kompromittierte Websites bleiben angreifbar, solange die unerlaubten Administratorkonten und die versteckten Backdoor-Plugins noch vorhanden sind.