Neue WordPress-Malware versteckt sich auf Checkout-Seiten und imitiert Cloudflare

Cybersicherheitsforscher haben eine hochentwickelte Malware-Kampagne entdeckt, die auf WordPress-Websites abzielt und in der Lage ist, Kreditkartendaten und Benutzeranmeldungen zu stehlen und sogar Profile der Opfer zu erstellen.

Diese Malware wurde am 16. Mai 2025 vom Wordfence Threat Intelligence Team entdeckt. Sie ist als irreführendes WordPress-Plugin verpackt und nutzt neuartige Anti-Erkennungsmethoden. Eine besonders innovative Taktik besteht darin, ein Live-Management-System direkt auf den infizierten Websites zu hosten, wodurch die Erkennung erschwert wird.

Diese ausgeklügelte Operation ist laut dem offiziellen Blogbeitrag von Wordfence mindestens seit September 2023 aktiv. Die Forscher analysierten über 20 Beispiele der Malware und entdeckten dabei gemeinsame Merkmale aller Versionen, darunter Code-Verschlüsselung, Techniken zur Vermeidung von Analysen und Möglichkeiten zum Erkennen von Entwicklertools.

Die Malware vermeidet beispielsweise geschickt die Ausführung auf Administratorseiten, um verborgen zu bleiben, und wird nur auf Checkout-Bildschirmen aktiviert. Neuere Versionen erstellen sogar gefälschte Zahlungsformulare und imitieren Cloudflare-Sicherheitsprüfungen, um Nutzer zu täuschen. Gestohlene Informationen werden oft getarnt als Bild-Webadressen versendet.

Neben dem Diebstahl von Zahlungsinformationen entdeckten die Forscher drei weitere Versionen dieser Malware, die jeweils unterschiedliche Ziele verfolgten. Eine Version manipulierte Google Ads, um mobilen Nutzern gefälschte Werbung anzuzeigen. Eine andere Version war darauf ausgelegt, WordPress-Anmeldedaten zu stehlen.

Eine dritte Version verbreitet noch mehr Schadsoftware, indem sie legitime Links auf Webseiten in bösartige umwandelt. Trotz dieser vielfältigen Funktionen bleibt das Kern-Framework der Software unverändert und passt seine Funktionen an jeden spezifischen Angriff an. Einige Versionen nutzten sogar die Messaging-App Telegram, um gestohlene Daten in Echtzeit zu versenden und Benutzeraktionen zu verfolgen.

Eine der untersuchten Proben enthielt zudem eine überraschend vollständige, gefälschte menschliche Verifizierungsaufgabe, die dynamisch im Vollbild- und mehrsprachigen Bildschirm eingeblendet wurde und sowohl zur Benutzertäuschung als auch als Anti-Bot-Filter dienen sollte. Dazu gehören unglaublich fortschrittliche Funktionen für Malware, wie mehrsprachig lokalisierten Text, CSS-Unterstützung für RTL-Sprachen und Dunkelmodus, interaktive Elemente wie Animationen und rotierende SVGs sowie eine eindeutige Cloudflare-Markenimitation. Dies offenbart eine bisher selten anzutreffende Komplexität.

Paolo Tresso – Wordfence

Eine der wichtigsten Entdeckungen war ein gefälschtes WordPress-Plugin namens WordPress Core . Obwohl es harmlos wirkte, enthielt es versteckten JavaScript-Code zum Skimming und PHP-Skripte , die es Angreifern ermöglichten, gestohlene Daten direkt von der kompromittierten Website aus zu verwalten.

Dieses betrügerische Plugin nutzte außerdem bestimmte Funktionen der beliebten E-Commerce-Plattform WooCommerce, um betrügerische Bestellungen als abgeschlossen zu markieren und so die Erkennung zu verzögern. Sein verstecktes Verwaltungssystem speichert gestohlene Zahlungsdaten direkt in WordPress und kategorisiert sie in einem benutzerdefinierten Abschnitt „Nachrichten“.

Um sich vor dieser Bedrohung zu schützen, sollten Website-Administratoren auf Anzeichen einer Kompromittierung achten, darunter spezifische Domänennamen, die mit den Angreifern in Verbindung stehen, wie etwa api-service-188910982.website und graphiccloudcontent.com . Wordfence hat seinen Premium-Nutzern bereits zwischen dem 17. Mai und dem 15. Juni 2025 Erkennungssignaturen für diese Malware zur Verfügung gestellt. Kostenlose Nutzer erhalten sie nach der üblichen 30-tägigen Verzögerung.