WordPress im Visier: Neue Angriffsmethode nutzt dezentrale Technik

WordPress ist das beliebteste CMS der Welt – und genau das macht es zum attraktiven Ziel für Cyberkriminelle. Laut Sicherheitsforschern von Google gab es eine neue Angriffswelle, die besonders raffiniert vorgeht: Schadcode wird nicht mehr auf klassischen Servern versteckt, sondern über eine dezentrale Plattform verteilt.

Was steckt dahinter?

Die Hackergruppe, die Google unter dem Namen UNC5142 führt, nutzt bekannte Schwachstellen in veralteten Themes und Plug-ins. Wer seine WordPress-Installation nicht regelmäßig aktualisiert, läuft Gefahr, Opfer dieser Kampagne zu werden.

Das Besondere: Die Angreifer speichern ihre Befehle in einem sogenannten Smart Contract auf einer öffentlichen Infrastruktur. Diese Technik, „Etherhiding“ genannt, macht das Entfernen des Codes nahezu unmöglich, da die Daten nicht einfach gelöscht werden können.

So läuft der Angriff ab

• Zunächst wird eine verwundbare Website mit einem kleinen Code-Schnipsel infiziert.

• Dieser Code ruft die eigentlichen Anweisungen aus dem Smart Contract ab.

• Besucher der Seite werden auf eine gefälschte Website umgeleitet.

• Dort kommt Social Engineering ins Spiel: Pop-ups fordern Nutzer auf, Befehle über die Kommandozeile auszuführen – angeblich für Updates oder Fehlerbehebungen. In Wahrheit installieren sie damit die Malware selbst.

Wie kann man die WordPress Seite vor dieser Angriffsmethode schützen?

• Updates sind Pflicht: Halte WordPress, Themes und Plug-ins aktuell.

• Nur vertrauenswürdige Quellen: Installiere Erweiterungen von seriösen Anbietern.

• Sicherheits-Tools nutzen: Plug-ins wie Wordfence sowie externe Scanner helfen, Schadcode zu erkennen.

• Warnsignale ernst nehmen: Unerwartete Weiterleitungen oder Pop-ups, die Systembefehle verlangen, sind ein klares Alarmzeichen.

Maßnahmen Checkliste

1. Updates & Wartung

•  WordPress-Core regelmäßig aktualisieren

•  Alle Themes und Plug-ins auf dem neuesten Stand halten

•  Nicht genutzte Plug-ins und Themes löschen

2. Sichere Zugangsdaten

•  Starke Passwörter für alle Benutzerkonten

•  Zwei-Faktor-Authentifizierung aktivieren

•  Admin-Benutzername nicht „admin“ verwenden

3. Plug-ins & Themes

•  Nur aus vertrauenswürdigen Quellen installieren

•  Bewertungen und Update-Historie des Anbieters prüfen

•  Keine veralteten oder nicht mehr gepflegten Erweiterungen nutzen

4. Server & Hosting

•  SSL-Zertifikat (HTTPS) immer aktuell halten

•  Regelmäßige Backups einrichten (lokal + extern)

•  PHP-Version aktuell halten

5. Sicherheits-Tools

•  Firewall-Plug-in installieren (z. B. Wordfence)

•  Malware-Scanner regelmäßig ausführen

•  Login-Versuche begrenzen (Brute-Force-Schutz)

6. Warnsignale erkennen

•  Unerwartete Weiterleitungen oder Pop-ups prüfen

•  Aufforderungen zur Eingabe von Systembefehlen ignorieren

•  Bei Verdacht sofort Virenscan durchführen

Was Google zusätzlich über die WordPress Angrifssmethode herausgefunden hat

• Größe der Kampagne: Laut Google wurden bereits über 14.000 kompromittierte Websites identifiziert.

• Ziel der Angriffe: Die Hacker verteilen vor allem Infostealer-Malware, darunter bekannte Varianten wie ATOMIC, VIDAR, LUMMAC.V2 und RADTHIEF. Diese Programme stehlen Passwörter, Kryptowährungs-Wallets und andere sensible Daten.

• Technische Raffinesse:

  • Die Angreifer nutzen eine dreistufige Architektur in ihren Smart Contracts

    (Router → Logic → Storage), um den Code dynamisch zu laden.

  • Sie setzen auf Web3.js für die Kommunikation mit der Blockchain und verschlüsseln ihre Daten zunehmend komplex (von Base64 bis AES).

• Finanzielle Motivation: UNC5142 ist nicht politisch motiviert, sondern verfolgt rein finanzielle Ziele.

• Laut Google Threat Intelligence Blog begann die Kampagne von UNC5142 Ende 2023. Seitdem hat die Gruppe ihre Methoden kontinuierlich weiterentwickelt, um schwerer entdeckt zu werden.

• Google berichtet außerdem, dass die Aktivität bis Juli 2025 beobachtet wurde, danach gab es vermutlich eine Pause oder einen Strategiewechsel.