etherdiding wordpress attack
Veröffentlicht am von Max Hagemann

🚨 Achtung: Deine WordPress-Seite als Malware-Launcher dank EtherHiding

Du betreibst eine WordPress-Site? Dann pass auf. Die Bedrohungsgruppe UNC5142 nutzt einen echt raffinierten Trick, um ihre Malware zu verteilen, der traditionelle Security-Tools alt aussehen lässt. Die Technik heißt EtherHiding, und sie verlagert den kritischen Teil des Schadcodes von einem leicht abschaltbaren Server auf die Blockchain. Deswegen brauchst du einen WordPress EtherHiding Schutz.

Das Ziel von UNC5142 ist rein finanziell motiviert (was von dieser Gruppe bekannt ist, steht weiter unten): Sie wollen Infostealer wie Atomic, Vidar oder Lumma unters Volk bringen. Diese stehlen dann Zugangsdaten, Passwörter und Krypto-Wallets von den Rechnern Deiner Besucher. Laut Google Threat Intelligence Group (GTIG) haben die Typen schon Tausende anfällige WordPress-Sites wahllos kompromittiert, um sie als Startrampe zu missbrauchen.

Was steckt hinter Smart Contracts und der BNB Smart Chain?

Für das Verständnis dieser Attacke ist der Begriff Smart Contract zentral. Das ist im Grunde ein Code-Snippet, das auf einer Blockchain liegt und autonom läuft.

Stell Dir das wie einen digitalen, unveränderlichen „Vertrag“ vor (den man dummerweise nicht kündigen kann): Er enthält Regeln und führt vordefinierte Aktionen aus, wenn bestimmte Bedingungen erfüllt sind – und das ganz ohne Mittelsmann.

Der Clou ist, dass dieser Code nach dem Deployment nicht einfach abgeschaltet oder zensiert werden kann, solange die Blockchain läuft. UNC5142 nutzt genau diese Resilienz, um den Schadcode darauf abzulegen.

Die BNB Smart Chain (BSC) – eine der größten Blockchains neben Ethereum – dient hier als Hosting-Plattform für diesen bösartigen Smart Contract. Sie bietet die notwendige Infrastruktur und API-Zugänge, die der injizierte JavaScript-Loader braucht, um den Payload abzurufen. Damit wird die BSC effektiv zum dezentralen und extrem beständigen C2-Server.

Offenbar läuft das so ab:

Zuerst bringen die Angreifer den Smart Contract (kann man sich wie gesagt als ein Stück ausführbaren Code vorstellen) auf die BNB Smart Chain. Dieser Code und sein anfänglicher Zustand werden dann auf allen Nodes (also den Computern), die die BSC betreiben, gespeichert. Er ist öffentlich und unveränderlich dort abgelegt.

Wenn der injizierte JavaScript-Loader auf deiner gehackten WordPress-Seite vom Browser eines Besuchers ausgeführt wird, macht er folgendes: Er sendet eine API-Anfrage an die BSC (z.B. über einen Public RPC Endpoint oder einen Node-Provider wie Alchemy oder Infura, die Schnittstellen zur Blockchain bereitstellen).

Diese API-Anfrage ist eine read-only Operation, die den auf der Blockchain gespeicherten Code des Smart Contracts (oder spezifische Daten daraus) abruft. Der Smart Contract selbst wird in diesem Moment nicht „ausgeführt“ im Sinne einer Zustandsänderung. Vielmehr wird sein Code einfach nur aus dem Blockchain-Speicher gelesen.

Der abgerufene Code (der verschlüsselte Payload) wird dann vom JavaScript-Loader im Browser entschlüsselt und ausgeführt, um die eigentliche Malware nachzuladen.

Kernpunkt: Der Smart Contract selbst führt die Malware nicht aus. Die Ausführung des bösartigen Codes (der Infostealer) findet auf dem Opfer-Browser/Computer statt, nachdem er von der Blockchain abgerufen wurde. Der Smart Contract dient als passiver, unveränderlicher Speicherort für den Malware-Payload.

Daher ist den Besitzern des Smart Contracts egal, wie oft der Code gelesen wird. Sie mussten die „Gas Fee“ für die Blockchain nur einmal bezahlen. Das ist ein wichtiger Unterschied zwischen read-only Operationen und write-Operationen auf der Blockchain.

Das Lesen von Daten von einer Blockchain erfordert keine Gas Fees. Es ist wie das Abrufen einer Webseite – es entstehen keine direkten Kosten für den Abruf selbst. Der JavaScript-Loader (und damit der Browser des Opfers) interagiert hier kostenlos mit dem Smart Contract.

Wie funktioniert dieser Blockchain-Tarnkappen-Angriff?

Normalerweise würde man bei einer konventionellen Angriffstaktik einen Command-and-Control-Server (C2) blockieren, und der Angriff wäre vorbei. Aber das EtherHiding hebelt das aus.

  1. Der Einbruch: Zuerst finden die Angreifer eine Schwachstelle in deiner WordPress-Installation – oft ein veraltetes Plugin oder Theme. Sie injizieren dann einen winzigen, unauffälligen JavaScript-Code-Loader (genannt CLEARSHORT Stage 1) entweder in Plugin-Dateien, Theme-Files oder direkt in die Datenbank.
  2. Der Abruf (Der Clou): Wenn ein Besucher Deine Seite lädt, führt sein Browser diesen Code aus. Aber anstatt einen herkömmlichen Server zu kontaktieren, fragt der Code über eine Standard-API den bösartigen Smart Contract auf der BSC ab.
  3. Die Ausführung: Die Blockchain liefert dann den eigentlichen, verschleierten Payload. Dieser wird ausgeführt und lädt die finale Malware (den Infostealer) nach. Oft wird das Ganze als Fake-Update-Meldung für den Browser getarnt (ClickFix oder ClearFake).

Weil der Schadcode dezentral auf der Blockchain liegt, kann er quasi nicht abgeschaltet werden. Faszinierend, wie schnell die Threat Actors neue Tech adaptieren. Hier ist einge grafische Dartsellung der Funktionsweise:

Infografik, die den EtherHiding-Angriff von UNC5142 darstellt. Der Prozess ist in drei Spalten unterteilt: 1. Infektion (WordPress-Exploit), 2. Dezentraler Payload-Abruf (von Smart Contract auf BNB Smart Chain über API), 3. Ausführung (Malware-Download als gefälschtes Browser-Update). Unten sind Schutzmaßnahmen wie Patching, starke Passwörter und Sicherheits-Scanner abgebildet
Infografik zur EtherHiding Attack Chain von UNC5142: Diese Darstellung zeigt den dreistufigen Angriffsprozess, bei dem Malware über kompromittierte WordPress-Sites verbreitet und der Payload dezentral auf der BNB Smart Chain versteckt wird. Außerdem sind die wichtigsten Schutzmaßnahmen aufgeführt, um Deine Website zu sichern. (Quelle: GTIG / Google Threat Intelligence Group)

🛡️ Dein Protection-Plan: Die Entry-Points dichtmachen!

Die gute Nachricht ist: Der Angriff beginnt immer mit einem erfolgreichen Initial-Access auf Deiner WordPress-Site. Wenn Du diesen ersten Schritt verhinderst, kann die EtherHiding-Technik machen, was sie will – sie bleibt wirkungslos. So gewinnen wir den Ansatz für einen WordPress EtherHiding Schutz.

Hier sind die Must-Haves für Deine Security-Strategie (Quelle: Eigene Analyse der Google-Erkenntnisse und Security-Best-Practices):

1. Patching ist nicht optional – es ist ein Muss

UNC5142 visiert verwundbare Sites an. Delayed Updates sind das größte Risiko.

  • Core, Themes & Plugins: Halte wirklich alles, alles, alles auf dem neuesten Stand. Jede verzögerte Aktualisierung ist ein offenes Tor für Exploits.

2. Access Control härten

Keine Chance für Brute-Force und gestohlene Credentials.

  • Starke Passwörter: Einzigartige, komplexe Passwörter für Admin und DB-Zugänge sind Standard.
  • 2FA (Zwei-Faktor-Authentifizierung): Aktiviere 2FA für jeden WordPress-Login. Das ist der effektivste Schutz gegen gestohlene oder erratene Passwörter.

3. Defense-in-Depth mit Security-Tools

Du brauchst einen Layer zur Intrusion Detection. Das dienst auch als WordPress EtherHiding Schutz.

  • Security-Plugin: Installiere ein robustes Security-Plugin (wie Wordfence oder Sucuri). Wichtig ist, dass diese Tools File-Integrity prüfen und auf verdächtiges, neu eingefügtes JavaScript im Theme-Header/Footer oder der Datenbank aufmerksam machen.
  • CSP (Content Security Policy): Ein Content Security Policy Header kann verhindern, dass Deine Seite Code von externen, nicht autorisierten Quellen (wie der BNB Smart Chain) nachlädt. Das ist ein Advanced-Defense-Layer, den Du Dir mal genauer anschauen solltest.

4. Monitoring und Auditing

Du musst wissen, was auf Deiner Site passiert.

  • Regelmäßiges Code-Scanning: Scanne Deine Dateien und Datenbank-Einträge nach unerwartetem, kurzen JavaScript-Code oder verdächtigen Iframes. Insbesondere Injektionen in header.php, footer.php oder Plugin-Dateien sind rote Flaggen.

Fazit: WordPress EtherHiding Schutz

EtherHiding ist so etwas wie ein Game Changer in der Cyber-Security-Welt, weil es zeigt, wie dezentrale Tech zum Problem werden kann. Es macht die Takedown-Strategie von Security-Teams extrem schwierig. Bisher konnte man da ganz gut ansetzen: Man musst „nur“ den Betreiber des Servers über die IP-Adresse finden und im einfachsten Fall eine nette Abuse-Mitteilung senden.

Für dich als WordPress-Betreiber bedeutet das aber im Prinzip: Die Security-Basics sind jetzt wichtiger denn je. Vernachlässige Deinen Wartungs-Workflow nicht. Patching und Access Control sind Dein MVP gegen diese Next-Gen-Threats.

Was denkst Du dazu? Hast du deine WordPress-Installation schon auf eine CSP umgestellt, um solche externen Code-Loads zu blocken, oder setzt du primär auf Scanner?

Wer ist UNC5142?

UNC5142 ist in der Cyber-Security-Community definitiv bekannt, aber vielleicht nicht so im breiten Public-Eye wie andere, spektakulärere Gruppen. Das ist typisch für Gruppen, die primär finanziell motiviert sind und sich auf Massen-Compromise und Malware-Distribution spezialisiert haben, statt auf Nation-State-Attacks.

Hier sind die Key Facts zur Bekanntheit von UNC5142 (Quelle: Google Threat Intelligence Group (GTIG) und Mandiant):

  1. Im Fokus der Threat Intelligence: Die Gruppe ist den großen Security-Forschern und Threat Intelligence Teams wie Google/Mandiant sehr gut bekannt. Sie haben der Gruppe auch diesen internen Tracking-Code UNC5142 (steht für Uncategorized Threat Group) gegeben. Die Tatsache, dass Google dazu einen detaillierten Report veröffentlicht hat, unterstreicht, dass sie als ernstzunehmende Bedrohung eingestuft wird.
  2. Spezialisten für EtherHiding: Sie wurden bekannt durch die aggressive Adaption und den Einsatz der EtherHiding-Technik (die ursprünglich 2023 von Guardio Labs dokumentiert wurde). Das hat ihre Reputation in der Security-Welt als innovative und resiliente Gruppe etabliert, die Web3-Tech für Web2-Angriffe nutzt.
  3. Hohe Opferzahl, aber unspezifisch: Bis Juni 2025 wurden laut Google rund 14.000 kompromittierte WordPress-Seiten identifiziert, die JavaScript mit dem UNC5142-Verhalten aufwiesen. Das ist eine massive Zahl, was die Reichweite der Gruppe beweist. Die Angriffe sind aber oft indiscriminate (wahllos) gegen anfällige WordPress-Sites gerichtet, was sie eher zu einem Volume-Player im Malware-Distribution-Geschäft macht.
  4. Verbindung zu ClearFake: Sie werden auch oft in Verbindung mit der ClearFake-Kampagne gebracht, die für die gefälschten Browser-Update-Pop-ups bekannt ist. Das zeigt, dass sie Teil eines größeren Malware-Ökosystems sind.
  5. Aktueller Status – Ein Rätsel: GTIG hat keine UNC5142-Aktivität mehr seit Juli 2025 festgestellt. Das ist ein krasser Stopp. Das kann entweder bedeuten, dass sie aufgehört haben, oder – wahrscheinlicher – dass sie einen Operational Pivot gemacht und ihre TTPs (Tactics, Techniques, and Procedures) so verändert haben, dass sie aktuell von den Trackern nicht mehr erfasst werden. Sie sind also entweder weg vom Fenster oder gerade dabei, ein noch stealthyeres Attack-Schema zu deployen.

Lies mehr:

Was tun, wenn du einen Hack auf WordPress erlebt hast?

Sichere dein WordPress, mach Backups

Halte dich auf dem Laufenden, was Bedrohungen von WordPress angeht:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert