Am vergangenen Wochenende hat das FBI Cleveland einen Schlag gegen Cyberkriminelle versetzt. Die chinesisch verortete Phishing-as-a-Service-Plattform (PhaaS) war seit dem Jahr 2023 aktiv. Jetzt ziert die Webseiten ein FBI-Banner, das auf die Beschlagnahme hinweist.

Das FBI berichtet auf Linkedin von der „Operation Ghost Hook“. Demnach haben die Strafverfolger zusammen mit Google und Lumen an den Maßnahmen gegen das kriminelle Angebot gearbeitet. „Outsider“ oder auch „Outsider Enterprise“ bot als Phishing-as-a-Service-Plattform „schlüsselfertige“ Phishingseiten mitsamt Infrastruktur gegen Geld an. Die Phishing-Kits konnten komplexe Angriffe gegen Bürger der USA und mindestens 54 weiterer Länder ausführen. Alles automatisch und KI-gestützt. Die Untersuchungen haben ergeben, dass die Outsider-PhaaS-Plattform seit Juli 2023 mehr als 8000 einzigartige Phishing-Domains aufgesetzt hat. Die zeichnen für geschätzte 3.870.000 gestohlene Kreditkartendaten und damit verbunden rund 1,9 Milliarden US-Dollar an Verlusten verantwortlich.

„Operation Ghost Hook“

Bei der gemeinsamen Aktion haben das FBI und die Partner mehrere Domains der Hauptverwaltungsserver beschlagnahmt. Außerdem eine Shopify-Geschäftsseite mitsamt Konto, die zum Testen des Phishing-Dienstes genutzt wurden. Auch 100.000 Tether (USDT) haben die Ermittler aus den Outsider-Wallets eingefroren. Tausende Phishing-Domains bei US-Providern wurden beschlagnahmt, sie zeigen nun das FBI-Banner zur Beschlagnahme im Rahmen von „Operation Ghost Hook“. Über einen „Outsider“-Telegram-Bot haben die Strafverfolger außerdem Informationen über Kunden des kriminellen Angebots erhalten.

Die Operation ist Teil der übergeordneten „Operation Riptide“, einer andauernden FBI-Kampagne, die die Drahtzieher, Infrastruktur und Finanznetzwerke hinter Cybercrime zum Gegenstand hat.

In dem Zusammenhang hat Google zudem erläutert, dass das Unternehmen gegen KI-Betrug auch mittels juristischer Schritte vorgehen will, das Ganze nennt sich grob übersetzt „proaktive Rechtsdurchsetzung“ (Affirmative Litigation). Neben dem Patchen von Sicherheitslücken und Sperren betrügerischer Konten geht das Unternehmen zusammen mit Strafverfolgern auch zivilrechtlich gegen Cyberkriminelle vor. Dazu gehört das Einklagen von Domain-Sperren, um deren Infrastruktur zu zerlegen, und das Einfrieren von Finanzmitteln.

(dmk)

Das betrachtete Projekt umfasste die Ablöse eines ERP-Systems (Enterprise-Resource-Planning), eine umfangreiche Datenmigration sowie funktionale Erweiterungen gegenüber dem Bestandssystem.

Der Auftragnehmer (AN) verantwortete die Qualität in den internen Teststufen, einschließlich System- und Systemintegrationstest. Der Auftraggeber (AG) trug die Verantwortung für den Abnahmetest und die damit verbundenen QS-Aktivitäten.

Um nach der Inbetriebnahme die späteren Regressionstests bei neuen Versionen effizienter testen zu können, war der AG bereit, schon frühzeitig im Laufe des ERP-Projekts die Testautomatisierung vorzubereiten und auch schon in den laufenden Projekt-Sprints zu evaluieren und zu nutzen.

Das war die Leseprobe unseres heise-Plus-Artikels „Testautomatisierung in einem ERP-Migrationsprojekt – Ein Erfahrungsbericht“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

IT-Sicherheitsforscher warnen vor einem aktiven Lieferkettenangriff auf die WordPress-Plug-ins OptinMonster, TrustPulse und möglicherweise PushEngage. Angreifer missbrauchen Schwachstellen darin, um Backdoors in verwundbare WordPress-Instanzen zu installieren. 1,2 Millionen Webseiten sollen bedroht sein.

Das schreiben die Autoren von Sansec in ihrer Analyse. Sie haben eine Supply-Chain-Attacke auf die Plug-ins OptinMonster, TrustPulse und PushEngage des Herstellers Awesome Motive aufgedeckt. Die Angreifer haben dabei bösartiges JavaScript in die legitimen Dateien eingeschleust, die Awesome Motive ausliefert. Diese Dateien sind dann in die Kunden-Webseiten eingebettet. Das bösartige JavaScript wartet darauf, dass sich ein Admin anmeldet, erstellt daraufhin einen Backdoor-Admin-Zugang und installiert noch eine sich versteckende Backdoor als Plugin; bei anderen Zugängen hält es die Füße still. Die neuen Zugangsdaten sendet es an eine Domain „tidio.cc“, die die reguläre Seite „tidio.com“ imitiert. Die Kampagne läuft seit Freitag, dem 12. Juni 2026.

Da die Angreifer volle Kontrolle über erfolgreich angegriffene Instanzen erhalten, können auch weitere Konten regulärer Besucher missbraucht werden. Awesome Motive vertreibt noch weitere populäre WordPress-Plugins. Zwar hat Sansec bislang nur Malware in dreien entdeckt, Nutzerinnen und Nutzer der anderen Plug-ins sollten jedoch aufmerksam bleiben und ihre Systeme auf Hinweise für Angriffe (Indicators of Compromise, IOC) überwachen. Allein das OptinMonster-Plugin kommt auf mehr als eine Million Installationen, erörtert Sansec. Aber auch WPForms mit mehr als sechs Millionen Installationen, All-in-One-SEO (drei Millionen Installationen) oder MonsterInsights (rund zwei Millionen Installationen) könnten möglicherweise im Visier der Angreifer sein.

Angriffe beobachtet

Sansec zufolge haben die IT-Sicherheitsforscher von Patchstack Erkennungen gebaut und damit in kurzer Zeit hunderte Angriffsversuche auf 13 Sites am Sonntag und Montag entdeckt. Wer Plugins von Awesome Motive einsetzt, sollte die in der Analyse genannten IOCs einmal prüfen.

Awesome Motive hat inzwischen ebenfalls reagiert und schreibt, dass Angreifer Zugangsdaten zum Content Delivery Network ergattern und damit Zugriff darauf erlangen konnten. Das nutzten sie zum Einschleusen einer manipulierten Version des JavaScripts, das die Produkte an die Kunden-Webseiten ausliefert. Für einen begrenzten Zeitraum habe das Skript die modifizierte Datei direkt aus dem CDN ausgeliefert. Awesome Motive betont, dass Anwendungsserver, Quellcode und die Systeme, die OptinMonster- und TrustPulse-Kontoinformationen speichern, unabhängig gehostet werden und nicht kompromittiert wurden.

Die Kompromittierung beschränkte sich demnach auf die Marketing-Webseite und durch einen darin gespeicherten CDN-API-Key auf das CDN-Konto. Die manipulierte Software sei einige Stunden am 12. Juni 2026 verteilt worden. Webseiten, die das Skript geladen hatten und wo sich Admins in dem Zeitfenster angemeldet haben, seien kompromittiert. Der Anbieter gibt dann Hilfestellung, wie Betroffene ihre Systeme wieder bereinigen können.

Sicherheitslücken in WordPress-Plug-ins dienen Angreifern immer wieder als Einstiegspunkt, um Systeme zu kapern. Anfang Mai wurden etwa Angriffe auf das WordPress-Plugin Breeze Cache beobachtet. Lieferkettenangriffe wie der nun erfolgte sind bislang jedoch selten.

(dmk)