Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt

Zscaler warnt: Für Anwender immer schwieriger, offizielle Website von schädlicher Kopie zu unterscheiden

[datensicherheit.de, 07.04.2019] Sicherheitsforscher des „Zscaler-ThreatLabZ“ haben nach eigenen Angaben in den letzten Monaten mehrere hundert „WordPress“- und „Joomla“-Sites entdeckt, die „Shade/Troldesh“-Ransomware, „Backdoors“, sowie „Redirectors“ beherbergten und auf unterschiedliche Phishing-Seiten umleiteten. Die durch diese „Content Management Systeme“ (CMS) verbreiteten Bedrohungen basierten auf Schwachstellen, die durch Plugins, Themen und Erweiterungen eingeschleust würden.

Kompromittierte „WordPress“-Sites beruhen auf Versionen 4.8.9 bis 5.1.1.

Die von Zscaler-Forschern entdeckten, kompromittierten „WordPress“-Sites beruhten auf den Versionen 4.8.9 bis 5.1.1. Sie verwenden demnach SSL-Zertifikate, die von den „Automatic Certificate Management Environment“-gesteuerten Zertifizierungsstellen, wie „Let’s Encrypt“, „GlobalSign“, „cPanel“ und „DigiCert“, ausgestellt wurden.
Diese kompromittierten „WordPress“-Seiten könnten veraltete CMS-Plugins/Themen oder serverseitige Software beinhalten, die möglicherweise der Grund für die Kompromittierung sein könnten.

Malware- und Phishing-Seiten vor Administratoren versteckt

Die Angreifer bevorzugten ein bekanntes, aber verstecktes Verzeichnis auf der HTTPS-Website, um Shade-Ransomware- und Phishing-Seiten zu verbreiten. Das versteckte Verzeichnis „/.well-known/“ in einer Website sei ein URI-Präfix für bekannte Standorte, das von der IETF definiert worden sei und häufig verwendet werde, um den Besitz einer Domain nachzuweisen.
Die Administratoren von HTTPS-Websites, die ACME zur Verwaltung von SSL-Zertifikaten verwenden, platzierten ein eindeutiges Token in den Verzeichnissen „/.well-known/acme-challenge/“ oder „/.well-known/pki-validation/“, um der Zertifizierungsstelle (CA) zu zeigen, dass sie die Domain kontrollierten. Die CA sende ihnen einen spezifischen Code für eine HTML-Seite, die sich in diesem speziellen Verzeichnis befinden müsse. Die CA suche dann nach diesem Code, um die Domäne zu validieren. Die Angreifer nutzten diese Orte, um Malware- und Phishing-Seiten vor den Administratoren zu verstecken.

Erscheinungsbild von bekannten Websites nachgeahmt

Diese Taktik sei effektiv, da dieses bereits auf den meisten HTTPS-Sites vorhandene Verzeichnis gut versteckt sei, so dass die Lebensdauer des bösartigen Inhalts auf der infizierten Website verlängert werde. Beispiele für Phishing-Webseiten, die bisher nach Angaben von Zscaler entdeckt wurden, ahmten unter anderem das Erscheinungsbild von „Office 365“, „Microsoft OneDrive“, „Dropbox“, „Yahoo“ und „Gmail“ nach.
„Wie wir an den Beispielen sehen, wird es für den Anwender immer schwieriger zu erkennen, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Eine sichere Alternative zum Aufrufen einer wirklich gewünschten Webseite ist mit einem gewissen Aufwand verbunden, kann sich aber aus Sicht der Internet-Sicherheit auszahlen. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen, die auch Sandbox-Funktionalität enthalten, kann dieser eigene Schutz wirkungsvoll ergänzt werden“, erläutert Rainer Rehm, „CISO EMEA Central“ bei Zscaler.

Foto: Zscaler

Rainer Rehm: Schutzmechanismen mit Sandbox-Funktionalität!

Abbildung: Zscaler

Beispiel Phishing-Webseite im Yahoo-Stil

Weitere Informationen zum Thema:

zscaler, Mohd Sadique, 26.03.2019
Abuse of hidden “well-known” directory in HTTPS sites / Compromised CMS sites leading to ransomware and phishing pages

datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019