Les cybercriminels ont commencé à cibler les sites WordPress exécutant des versions plus anciennes du CMS le plus populaire au monde afin de les utiliser pour diffuser des publicités de phishing malveillantes.
Chercheurs en sécurité à Cyberactualité découvert cette nouvelle méthode d’attaque en décembre de l’année dernière lors d’une opération de numérisation de routine. Cependant, leurs découvertes ont conduit à la découverte d’un système illégal de création d’argent qui a été utilisé pour compromettre des centaines de sites qui exécutent des versions obsolètes de WordPress ou qui n’ont pas installé les plugins de sécurité WordPress appropriés.
Pour ce faire, les cybercriminels responsables ont d’abord piraté les sites Web vulnérables à l’aide d’exploits ou d’attaques de bourrage d’informations d’identification. En injectant un script PHP dans les installations WordPress des sites ciblés, ils ont pu les transformer en points de commande et de contrôle qui diffusaient des publicités malveillantes lorsqu’ils étaient déclenchés par des scripts de deuxième phase ou ouverts par un lien. Étonnamment, tous les scripts PHP malveillants trouvés par Cyberactualité se faisaient tous passer pour des plugins WordPress légitimes.
Cyberactualité‘ Vincentas Baubonis a expliqué dans un nouveau rapport comment un morceau de code JavaScript a initialement conduit les chercheurs en sécurité à enquêter plus avant, en disant :
« Ce morceau particulier de code JavaScript a attiré l’attention de l’équipe en raison de l’obscurcissement important et des conditions de déploiement étranges. L’obscurcissement du code est une technique employée par les développeurs légitimes et les acteurs malveillants pour empêcher l’ingénierie inverse. Dans ce cas, il a été utilisé pour inverser la charge utile réelle pour la dissimulation de code malveillant. »
Cibler les anciens sites WordPress
Après que les scripts PHP malveillants aient été conçus pour ressembler à des plugins légitimes, des attaques automatisées ont été lancées contre les anciennes versions des sites WordPress pour insérer des références dans leur code HTML qui ont conduit aux points de commande et de contrôle précédemment piratés.
Selon Cyberactualité, la première phase de toutes les itérations de cette attaque a compromis quatre sites qui ont ensuite été utilisés pour héberger des scripts de commande et de contrôle tandis que la deuxième étape ciblait principalement les sites exécutant des versions plus anciennes de WordPress allant de 3.5.1 à 4.9.1. L’équipe de recherche de la publication a trouvé au moins 560 sites WordPress compromis et parmi ceux-ci, 382 ont été forcés d’exécuter du code malveillant. Heureusement, à la suite d’erreurs ou des mesures de sécurité intégrées de WordPress, tous les sites compromis n’ont pas été en mesure de générer des revenus pour les cybercriminels responsables.
De plus, seuls sept sites sur dix diffusaient des publicités malveillantes, peut-être pour des raisons techniques ou la sécurité intégrée du thème WordPress qui empêchait le code de s’exécuter là où il n’était pas censé le faire.
En ce qui concerne les pays avec les sites les plus ciblés, les États-Unis comptaient 201 sites Web compromis, suivis de la France (62), de l’Allemagne (51) et du Royaume-Uni (34). En ce qui concerne les fournisseurs d’hébergement Web les plus touchés, GoDaddy a pris la première place avec 42 sites Web, suivi de WebsiteWelcome avec 30 sites Web et d’OVH ISP avec 27 sites Web. Cependant, lorsque les données ont été indexées par le FAI, OVH SAS était en tête de liste avec 55 sites Web piratés avec Unified Layer en deuxième position avec 53 sites Web et GoDaddy en troisième avec 43 sites Web.
Cybernews’ dernier rapport est un autre rappel de l’importance de maintenir votre site WordPress à jour. Si la mise à jour de votre site WordPress est quelque chose que vous oubliez souvent de faire, alors vous feriez peut-être mieux de vous inscrire à une solution WordPress gérée plutôt que de tout faire vous-même.
Via Cybernews