Aktuelles, Branche - geschrieben von dp am Sonntag, April 7, 2019 16:12 - noch keine Kommentare
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt
Zscaler warnt: Für Anwender immer schwieriger, offizielle Website von schädlicher Kopie zu unterscheiden
[datensicherheit.de, 07.04.2019] Sicherheitsforscher des „Zscaler-ThreatLabZ“ haben nach eigenen Angaben in den letzten Monaten mehrere hundert „WordPress“- und „Joomla“-Sites entdeckt, die „Shade/Troldesh“-Ransomware, „Backdoors“, sowie „Redirectors“ beherbergten und auf unterschiedliche Phishing-Seiten umleiteten. Die durch diese „Content Management Systeme“ (CMS) verbreiteten Bedrohungen basierten auf Schwachstellen, die durch Plugins, Themen und Erweiterungen eingeschleust würden.
Kompromittierte „WordPress“-Sites beruhen auf Versionen 4.8.9 bis 5.1.1.
Die von Zscaler-Forschern entdeckten, kompromittierten „WordPress“-Sites beruhten auf den Versionen 4.8.9 bis 5.1.1. Sie verwenden demnach SSL-Zertifikate, die von den „Automatic Certificate Management Environment“-gesteuerten Zertifizierungsstellen, wie „Let’s Encrypt“, „GlobalSign“, „cPanel“ und „DigiCert“, ausgestellt wurden.
Diese kompromittierten „WordPress“-Seiten könnten veraltete CMS-Plugins/Themen oder serverseitige Software beinhalten, die möglicherweise der Grund für die Kompromittierung sein könnten.
Malware- und Phishing-Seiten vor Administratoren versteckt
Die Angreifer bevorzugten ein bekanntes, aber verstecktes Verzeichnis auf der HTTPS-Website, um Shade-Ransomware- und Phishing-Seiten zu verbreiten. Das versteckte Verzeichnis „/.well-known/“ in einer Website sei ein URI-Präfix für bekannte Standorte, das von der IETF definiert worden sei und häufig verwendet werde, um den Besitz einer Domain nachzuweisen.
Die Administratoren von HTTPS-Websites, die ACME zur Verwaltung von SSL-Zertifikaten verwenden, platzierten ein eindeutiges Token in den Verzeichnissen „/.well-known/acme-challenge/“ oder „/.well-known/pki-validation/“, um der Zertifizierungsstelle (CA) zu zeigen, dass sie die Domain kontrollierten. Die CA sende ihnen einen spezifischen Code für eine HTML-Seite, die sich in diesem speziellen Verzeichnis befinden müsse. Die CA suche dann nach diesem Code, um die Domäne zu validieren. Die Angreifer nutzten diese Orte, um Malware- und Phishing-Seiten vor den Administratoren zu verstecken.
Erscheinungsbild von bekannten Websites nachgeahmt
Diese Taktik sei effektiv, da dieses bereits auf den meisten HTTPS-Sites vorhandene Verzeichnis gut versteckt sei, so dass die Lebensdauer des bösartigen Inhalts auf der infizierten Website verlängert werde. Beispiele für Phishing-Webseiten, die bisher nach Angaben von Zscaler entdeckt wurden, ahmten unter anderem das Erscheinungsbild von „Office 365“, „Microsoft OneDrive“, „Dropbox“, „Yahoo“ und „Gmail“ nach.
„Wie wir an den Beispielen sehen, wird es für den Anwender immer schwieriger zu erkennen, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Eine sichere Alternative zum Aufrufen einer wirklich gewünschten Webseite ist mit einem gewissen Aufwand verbunden, kann sich aber aus Sicht der Internet-Sicherheit auszahlen. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen, die auch Sandbox-Funktionalität enthalten, kann dieser eigene Schutz wirkungsvoll ergänzt werden“, erläutert Rainer Rehm, „CISO EMEA Central“ bei Zscaler.
Rainer Rehm: Schutzmechanismen mit Sandbox-Funktionalität!
Beispiel Phishing-Webseite im Yahoo-Stil
Weitere Informationen zum Thema:
zscaler, Mohd Sadique, 26.03.2019
Abuse of hidden “well-known” directory in HTTPS sites / Compromised CMS sites leading to ransomware and phishing pages
datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen
datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird
datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent
datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam
datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren