Mastodon Mastodon Mastodon Mastodon

Mehrstufige WordPress-Kampagne versteckt Backdoor über Steam Community

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Laut Forschern von GoDaddy wurden rund 1.980 Websites auf Basis von WordPress mit einer mehrstufigen Malware infiziert, die Profile der Steam Community als Steuerkanal nutzt. Die Schadsoftware setzt Steganografie auf Basis unsichtbarer Unicode-Zeichen ein, um verdeckt Adressen der Nutzlast zu übertragen, und richtet in der letzten Phase eine vollwertige serverseitige Backdoor mit Remote-Ausführung von PHP-Code ein. Die Kampagne ist dem Bericht zufolge mindestens seit Juli 2025 aktiv. Betreibern von WordPress-Websites wird empfohlen, umgehend die Logs auf Aufrufe von Steam Community und der Domain hello-mywordl[.]info zu prüfen.

Angriffsmechanismus: von unsichtbaren Zeichen bis zur Remote-Code-Ausführung

Der initiale Kompromittierungsvektor ist derzeit nicht bekannt. Die Forscher von GoDaddy gehen von mehreren möglichen Szenarien aus: Diebstahl von Administrator- oder FTP/SFTP-Zugangsdaten, eine Supply-Chain-Kompromittierung sowie die Ausnutzung verwundbarer WordPress-Themes und -Plugins. Dass es keinen bestätigten Vektor gibt, bedeutet, dass klassische Schutzmaßnahmen – Aktualisierung von Plugins, Änderung von Passwörtern, Zugangsbeschränkungen – parallel weiterhin relevant bleiben.

Nach Erlangen des Zugriffs implantieren die Angreifer die erste Komponente der Malware, die beim Laden von Seiten bestimmte Steam-Community-Profile aufruft. Das zentrale Merkmal der Kampagne ist die Art der Übermittlung der Steuerdaten. Kommentare in den Steam-Profilen wirken wie normaler Text, enthalten jedoch unsichtbare Unicode-Zeichen, die die kodierte Nutzlast tragen.

Sechs Zeichen für Steganografie

Für die Kodierung der Daten nutzen die Angreifer sechs konkrete Unicode-Zeichen:

  • U+200C — Zero-width non-joiner
  • U+200D — Zero-width joiner
  • U+2061 — Function application
  • U+2062 — Invisible times
  • U+2063 — Invisible separator
  • U+2064 — Invisible plus

Die Malware ignoriert den sichtbaren Kommentartext vollständig und verarbeitet ausschließlich diese Zeichen, deren Sequenz in Binärdaten umgewandelt wird. Bemerkenswert ist dabei, dass sich mit sechs Zeichen etwas mehr als 2,5 Bit pro Zeichen kodieren lassen (log₂6 ≈ 2,58), was für die kompakte Übermittlung von URLs oder kurzen Befehlen ausreicht und für einen Menschen, der das Steam-Profil betrachtet, trotzdem völlig unsichtbar bleibt.

Nach der Dekodierung extrahiert die Malware die Domainadresse hello-mywordl[.]info, von der JavaScript-Code nachgeladen wird. Dieses Skript wird in alle Seiten der kompromittierten Website injiziert. Zur Tarnung werden Dateinamen verwendet, die legitime Bibliotheken imitieren: asahi-jquery-min-bundle und lodash.core.min.js.

Server-Backdoor

In der letzten Phase wird auf dem Server eine Backdoor eingerichtet, die auf speziell formatierte POST-Anfragen wartet. Die Aktivierung erfolgt nur bei Vorhandensein eines bestimmten Authentifizierungs-Cookies – ohne dieses bleibt die Backdoor inaktiv, was die Entdeckung bei Scans erschwert. Bei erfolgreicher Authentifizierung erhalten die Angreifer die Möglichkeit, PHP-Code in Base64-Kodierung an den Server zu übermitteln und ihn aus der Ferne auszuführen. De facto erhalten sie damit die vollständige Kontrolle über den Server.

Techniken zur Umgehung der Erkennung

Die Kampagne zeigt ein durchdachtes Set an Tarnmethoden. Nach Angaben der GoDaddy-Forscher nutzt die Malware String-Obfuskation mittels hexadezimaler und oktaler Sequenzen, zufällig generierte Funktionsnamen sowie die intensive Nutzung der Standard-APIs von WordPress. Letzteres ist besonders effektiv: Die schädliche Aktivität vermischt sich mit legitimen WordPress-Aufrufen, wodurch sie bei der Log-Analyse ohne spezialisierte Werkzeuge praktisch nicht von der normalen Arbeitsweise des CMS zu unterscheiden ist.

Die Wahl der Steam Community als Steuerinfrastruktur stellt eine weitere Tarnschicht dar. Verkehr zu Steam ruft bei den meisten Filtersystemen keinen Verdacht hervor, und die Plattform selbst steht nicht unter direkter Kontrolle der Angreifer, was eine Blockierung auf Seiten der Verteidiger erschwert. Gleichzeitig können die Angreifer den Inhalt der Kommentare schnell anpassen und die Adressen der Nutzlast aktualisieren, ohne erneut auf die kompromittierten Websites zugreifen zu müssen.

Einschätzung der Auswirkungen

Das Ausmaß von rund 1.980 infizierten Websites nach Angaben einer Quelle deutet auf eine groß angelegte automatisierte Kampagne hin. WordPress hält mehr als 40 % Marktanteil bei CMS, und die kompromittierten Ressourcen können aus unterschiedlichsten Branchen stammen – vom Kleinunternehmen über Medien bis hin zum E-Commerce. Das Vorhandensein einer vollwertigen Backdoor mit Remote-Code-Ausführung bedeutet, dass kompromittierte Server für weitere Angriffe genutzt werden können: Hosting von Phishing-Seiten, Weiterleitung von Besuchern auf schädliche Ressourcen, Diebstahl von Daten aus WordPress-Datenbanken oder die Nutzung der Serverkapazität zum Proxen von Traffic.

Indikatoren einer Kompromittierung und Empfehlungen

Zur Erkennung einer Infektion sollten die folgenden Indikatoren geprüft werden:

  • Ausgehende Anfragen aus Serverskripten an Domains der Steam Community (steamcommunity.com)
  • Verbindungen zur Domain hello-mywordl[.]info
  • Verdächtige JavaScript-Dateien mit Namen, die populäre Bibliotheken imitieren (asahi-jquery-min-bundle, lodash.core.min.js)
  • Vorhandensein unsichtbarer Unicode-Zeichen (U+200C, U+200D, U+2061–U+2064) im Code der Website
  • Ungewöhnliche _transient_caption_-Einträge in der WordPress-Datenbank
  • Deaktivierte SSL-Verifikation in cURL-Anfragen
  • POST-Anfragen mit dem Parameter new_code

Praktische Reaktionsschritte:

  1. Mit Hilfe von grep oder ähnlichen Werkzeugen die Server-Logs auf die genannten Indikatoren prüfen
  2. Nach unsichtbaren Unicode-Zeichen in Theme- und Plugin-Dateien suchen: grep -rP '[\x{200C}\x{200D}\x{2061}-\x{2064}]' /path/to/wordpress/
  3. Alle administrativen Passwörter sowie FTP/SFTP-Zugangs-Schlüssel ändern
  4. WordPress sowie sämtliche Plugins und Themes auf die aktuellen Versionen aktualisieren
  5. Bei festgestellter Infektion Dateien aus einem nachweislich sauberen Backup wiederherstellen, statt zu versuchen, die Malware manuell „herauszuputzen“
  6. Ausgehende Verbindungen zu hello-mywordl[.]info auf Firewall- oder WAF-Ebene blockieren

Angesichts der Tatsache, dass der initiale Angriffsvektor nicht bekannt ist und die Backdoor eine vollständige Remote-Kontrolle über den Server ermöglicht, sollten Betreiber von WordPress-Websites die genannten Indikatoren einer Kompromittierung mit hoher Priorität prüfen. Besonderes Augenmerk gilt JavaScript-Dateien mit untypischen Namen und ausgehenden Verbindungen zur Steam Community aus der Serverumgebung: Gerade diese Merkmale unterscheiden diese Kampagne am zuverlässigsten von anderer WordPress-Malware.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen