![[Externer Link] Webseite - Autonome Provinz Bozen - Südtirol](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Über 1.000 WordPress-Websites mit JavaScript-Hintertüren infiziert, die einem hartnäckigen Angreifer Zugang gewähren
Datenschutz / Sicherheit der Website
Mehr als 1.000 WordPress-Websites wurden mit einem JavaScript-Code eines Drittanbieters infiziert, der vier separate Hintertüren einschleust.
"Die Schaffung von vier Hintertüren macht es Angreifern leicht, mehrere Einstiegspunkte zu haben, falls eine von ihnen entdeckt und entfernt wird", so Himanshu Anand, Forscher bei c/side, in einer Analyse vom Mittwoch.
Es wurde festgestellt, dass bösartiger JavaScript-Code über cdn.csyndication[.]com bereitgestellt wird. Nicht weniger als 908 Websites enthalten derzeit Verweise auf die betreffende Domain.
Die Funktionen der vier Backdoors werden im Folgenden erläutert:
Backdoor 1: Sie lädt und installiert ein gefälschtes Plugin namens "Ultra SEO Processor", das dann zur Ausführung der vom Angreifer gesendeten Befehle verwendet wird.
Backdoor 2: Sie fügt bösartiges JavaScript in die Datei wp-config.php ein.
Backdoor 3: fügt einen vom Angreifer kontrollierten SSH-Schlüssel in die Datei ~/.ssh/authorized_keys ein, um dauerhaften Fernzugriff auf den Rechner zu ermöglichen
Backdoor 4: Sie dient der Ausführung von Remote-Befehlen und ruft eine weitere Nutzlast von gsocket[.]io ab, um wahrscheinlich eine Reverse Shell zu öffnen.
Um das von den Angriffen ausgehende Risiko zu mindern, wird den Nutzern empfohlen, nicht autorisierte SSH-Schlüssel zu löschen, die Anmeldeinformationen für die WordPress-Administration zu ändern und die Systemprotokolle auf verdächtige Aktivitäten zu überwachen.
Die Entwicklung kommt zu einem Zeitpunkt, an dem das Cybersicherheitsunternehmen mitteilt, dass eine weitere Malware-Kampagne mehr als 35.000 Websites mit bösartigem JavaScript infiziert hat, das das Browserfenster des Benutzers komplett entführt", um die Besucher der Website auf chinesischsprachige Glücksspielplattformen umzuleiten.
Der Angriff scheint auf Regionen abzuzielen, in denen Mandarin weit verbreitet ist, und die Zielseiten enthalten Glücksspielinhalte mit der Marke "Kaiyun".
Die Weiterleitungen erfolgen über JavaScript, das auf fünf verschiedenen Domänen gehostet wird und als Lader für die Hauptnutzlast fungiert, die für die Ausführung der Weiterleitungen verantwortlich ist.
mlbetjs[.]com
ptfafajs[.]com
zuizhongjs[.]com
jbwzzzjs[.]com
jpbkte[.]com
SOC
Andere Pressemitteilungen dieser Kategorie
- Neue ClickFix-Kampagne nutzt Social Engineering zur Verbreitung von Malware über irreführende Eingabeaufforderungen (19.02.2026, 23:00)
- Microsoft behebt eine schwerwiegende Sicherheitslücke in Windows Admin Center, die eine Erhöhung der Berechtigungen ermöglicht (19.02.2026, 23:00)
- Staatlich unterstützte Cyber-Spionagegruppe kompromittiert Regierungsnetzwerke und kritische Infrastrukturen in 37 Ländern (05.02.2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)