Une nouvelle variante de malware a été repérée ciblant les sites Web WordPress avec des modules complémentaires vulnérables installés.
Le malware (s’ouvre dans un nouvel onglet) permet aux pirates de rediriger les visiteurs vers un site Web de leur choix, chaque fois qu’ils cliquent n’importe où sur le site.
Découvert par des chercheurs de Dr.Web, le malware s’appelle Linux.BackDoor.WordPressExploit.1 et est décrit comme un cheval de Troie ciblant les versions 32 bits de Linux, qui peuvent également fonctionner sur les versions 64 bits.
Plus de versions
Le cheval de Troie fonctionne en injectant un JavaScript malveillant dans des sites Web vulnérables. Pour ce faire, il exploite les vulnérabilités connues dans un certain nombre de modules complémentaires défectueux, tels que le plug-in de support WP Live Chat, WP Live Chat, Google Code Inserter et WP Quick Booking Manager.
Les chercheurs soupçonnent que le logiciel malveillant aurait pu être actif pendant trois ans, vendre du trafic ou se livrer à des arbitrages.
« L’injection est effectuée de telle manière que lorsque la page infectée est chargée, ce JavaScript sera lancé en premier – quel que soit le contenu original de la page », ont déclaré les chercheurs.
Une version mise à jour a également été découverte par la suite qui, en plus d’avoir un serveur de commande et de contrôle (C2) différent, exploitait également des failles dans des modules complémentaires supplémentaires, tels que Brizy WordPress Plugin, FV Flowplayer Video Player et WordPress Coming Soon Page.
Le rapport indique également que les deux versions sont livrées avec des fonctionnalités supplémentaires qui n’ont toujours pas été activées, dont une qui permet aux acteurs de la menace de cibler les comptes d’administrateur via des attaques par force brute. Par conséquent, il est fort probable que les attaquants aient prévu des versions supplémentaires du cheval de Troie et des fonctionnalités supplémentaires pour démarrer.
« Si une telle option est implémentée dans les nouvelles versions de la porte dérobée, les cybercriminels pourront même attaquer avec succès certains de ces sites Web qui utilisent les versions actuelles du plug-in avec des vulnérabilités corrigées », ajoute le rapport.
Pour assurer la sécurité de leurs sites Web, les webmasters doivent s’assurer que leur plate-forme WordPress, ainsi que les modules complémentaires installés, sont à jour. En outre, ils doivent également garder un œil sur les nouvelles concernant les mises à jour installées, en particulier pour celles qui sont téléchargeables gratuitement.
Via : Infosecurity Magazine (s’ouvre dans un nouvel onglet)