Die WordPress-Steam-Malwarekampagne hat fast 2.000 Websites infiziert, indem sie Steam-Community-Profile missbrauchte, um schädliche Payloads zu verstecken. Forscher entdeckten, dass die Angreifer unsichtbare Zeichen in öffentlichen Steam-Profilen nutzten, um Befehle an kompromittierte WordPress-Websites zu übermitteln.
Die Kampagne fällt besonders auf, weil sie auf klassische Command-and-Control-Infrastruktur verzichtet. Statt verdächtige Domains oder dedizierte Server zu verwenden, ruft die Malware versteckte Anweisungen von einer legitimen Gaming-Plattform ab. Dadurch wirkt der schädliche Datenverkehr wie normale Internetaktivität und wird deutlich schwerer erkannt.
Forscher glauben, dass die Operation einen wachsenden Trend zeigt, bei dem Angreifer Malware-Kommunikation innerhalb legitimer Onlinedienste verstecken.
Angreifer versteckten Payloads in Steam-Profilen
Sicherheitsforscher entdeckten, dass sich die Malware mit bestimmten Steam-Community-Profilen verbindet und dort versteckte Daten ausliest. Die Angreifer verwendeten unsichtbare Unicode-Zeichen, um codierte Payloads zu verbergen, ohne dass der Text verdächtig wirkte.
Nach der Entschlüsselung erzeugt die Payload schädliche Befehle für die infizierte WordPress-Website. Die Malware injiziert anschließend schädlichen JavaScript-Code in Webseiten und kann Besucher auf unerwünschte Inhalte oder weitere schädliche Infrastruktur umleiten.
Da Steam eine legitime und vertrauenswürdige Plattform ist, markieren Sicherheitslösungen diese Verbindungen weniger wahrscheinlich sofort als gefährlich. Dieser Ansatz hilft Angreifern dabei, automatisierte Sicherheitssysteme zu umgehen, die sich auf verdächtige Domains oder bekannte Malware-Server konzentrieren.
Die Technik bietet den Angreifern außerdem zusätzliche Flexibilität. Sie können Payloads direkt über Änderungen an Steam-Profilen aktualisieren, ohne die Malware auf den kompromittierten Websites verändern zu müssen.
Malware enthielt eine dauerhafte Hintertür
Forscher identifizierten außerdem eine versteckte PHP-Backdoor in den infizierten WordPress-Umgebungen. Die Hintertür ermöglicht es Angreifern, Befehle aus der Ferne auszuführen und langfristigen Zugriff auf kompromittierte Websites zu behalten.
Dieser Zugriff verschafft den Bedrohungsakteuren weitreichende Kontrolle über die infizierten Systeme. Angreifer können zusätzliche Malware installieren, WordPress-Dateien manipulieren, Plugins verändern oder die kompromittierten Websites für weitere Kampagnen nutzen.
Die Malware verwendete zudem mehrere Verschleierungstechniken, um Analysen zu erschweren und die Entdeckung zu vermeiden. Forscher beobachteten zufällig generierte Variablennamen, codierte Payloads und mehrschichtige Ausführungsmethoden, die manuelle Untersuchungen komplizierter machten.
Diese Techniken deuten darauf hin, dass die Betreiber die Infektionen möglichst lange aktiv halten wollten, ohne Aufmerksamkeit zu erregen.
Forscher untersuchen weiterhin den Erstzugriff
Bislang konnten Forscher nicht bestätigen, wie die Angreifer die betroffenen WordPress-Websites ursprünglich kompromittierten. Mehrere typische Angriffswege bleiben jedoch wahrscheinlich.
Mögliche Einstiegspunkte umfassen veraltete Plugins, anfällige Themes, gestohlene Administratorzugänge oder schlecht gesicherte Hosting-Umgebungen. WordPress-Websites werden häufig zum Ziel, wenn Betreiber Updates verzögern oder nicht mehr unterstützte Erweiterungen weiter nutzen.
Das Ausmaß der Kampagne deutet außerdem darauf hin, dass die Angreifer wahrscheinlich automatisierte Scan- und Exploit-Techniken nutzten, um anfällige Websites schnell zu identifizieren.
Forscher analysieren weiterhin Indikatoren im Zusammenhang mit der Operation, um die Infrastruktur und die Angriffskette hinter der Kampagne besser zu verstehen.
Website-Betreiber sollten ihre WordPress-Sicherheit überprüfen
Sicherheitsexperten empfehlen WordPress-Administratoren, ihre Websites auf Anzeichen einer Kompromittierung zu überprüfen. Verdächtige Verweise auf Steam-Community-URLs, unerwartete JavaScript-Injektionen, veränderte PHP-Dateien und ungewöhnlicher ausgehender Datenverkehr können auf eine Infektion hinweisen.
Administratoren sollten außerdem:
- Den WordPress-Kern aktualisieren
- Ungenutzte Plugins und Themes entfernen
- Administratorpasswörter zurücksetzen
- Multi-Faktor-Authentifizierung aktivieren
- Serverprotokolle auf verdächtige Aktivitäten prüfen
- Saubere Backups wiederherstellen, falls eine Kompromittierung bestätigt wird
Regelmäßige Wartung bleibt eine der effektivsten Maßnahmen zur Reduzierung von Sicherheitsrisiken in WordPress-Umgebungen.
Fazit
Die WordPress-Steam-Malwarekampagne zeigt, wie Cyberkriminelle ihre Techniken ständig weiterentwickeln, um unentdeckt zu bleiben und Zugriff auf kompromittierte Websites zu behalten. Durch das Verstecken schädlicher Payloads in Steam-Community-Profilen konnten die Angreifer auf klassische Malware-Infrastruktur verzichten und den Datenverkehr legitim erscheinen lassen.
Die Kampagne verdeutlicht außerdem die anhaltenden Sicherheitsrisiken veralteter oder schlecht geschützter WordPress-Umgebungen. Website-Betreiber sollten ihre Systeme regelmäßig überwachen, Updates schnell installieren und ungewöhnliche Aktivitäten untersuchen, bevor Angreifer dauerhaften Zugriff erhalten.


0 Kommentare zu „WordPress-Steam-Malwarekampagne hat fast 2.000 Websites infiziert“