Eine ausgeklügelte Malware namens Mal.Metrica hat mehr als 17.000 WordPress-Seiten infiltriert, indem sie gefälschte CAPTCHA-Überprüfungen nutzt, um Nutzer auf bösartige Domänen umzuleiten. Diese Methode setzt auf die Gewohnheit der Nutzer, Sicherheitsabfragen zu vertrauen, und steigert so die Effektivität von Betrugsversuchen.

Tarnung durch gefälschte CAPTCHA-Bilder

Die Angriffstechnik von Mal.Metrica unterscheidet sich durch den Einsatz eines Bild-Overlays, das eine menschliche Verifikationsaufforderung vortäuscht, von herkömmlichen Methoden. Das Bild enthält einen versteckten Link zu einer schädlichen Domain, was die Entdeckung erschwert, da der bösartige Code nicht direkt im Quellcode der Webseite liegt. Sobald Nutzer auf das Bild klicken, werden sie über mehrere Umleitungen auf die schädliche Webseite geführt.

Ausnutzung von Schwachstellen in WordPress-Plugins

Mal.Metrica injiziert bösartige Skripte, die sich als legitime CDN- oder Webanalytik-Dienste tarnen, in anfällige WordPress-Plugins. Besonders betroffen sind Plugins wie tagDiv Composer, Popup Builder, WP Go Maps und Beautiful Cookie Consent Banner. Die Malware nutzt die Webanalytik-Plattform Yandex.Metrica, um die Wirksamkeit dieser Injektionen zu verfolgen.

Verbindung zu hochriskanter Sicherheitslücke

Forscher von Sucuri haben eine Verbindung zwischen der Mal.Metrica-Kampagne und einer hochriskanten Sicherheitslücke im beliebten WordPress-Theme „Responsive“ aufgezeigt. Diese Lücke ermöglichte das Einschleusen von Schadcode in den Footer-Bereich der Webseiten. Die Schwachstelle wurde im März 2024 identifiziert und ist mittlerweile behoben.

Vorsicht vor gefälschten Sicherheitsaufforderungen

Die Malware führt Nutzer durch das Klicken auf eine gefälschte CAPTCHA-Aufforderung zu einer Serie von Browser-Benachrichtigungen, die als legitime Sicherheitsüberprüfungen getarnt sind. Diese Benachrichtigungen dienen als Einfallstor für weitere Umleitungen zu betrügerischen Webseiten. Dort werden Nutzer mit verschiedenen Social-Engineering-Techniken dazu verleitet, ihre Sicherheit und Privatsphäre zu kompromittieren. Zu den häufigen Betrugsversuchen zählen unter anderem das Herunterladen von Malware, die als notwendige Softwareaktualisierungen getarnt ist, Phishing-Angriffe und betrügerische Investitionsangebote im Bereich Kryptowährung.

Maßnahmen zur Sicherung

Website-Administratoren wird empfohlen, ihre Systeme regelmäßig zu aktualisieren und Sicherheitspatches umgehend zu implementieren, um solche Angriffe abzuwehren. Nutzer sollten zudem bei der Interaktion mit Sicherheitsabfragen und -benachrichtigungen besonders vorsichtig sein und verdächtige Aktivitäten melden.