Les cybercriminels ont commencé à cibler Sites WordPress exécutant des versions plus anciennes des plus populaires au monde CMS afin de les utiliser pour diffuser des publicités de phishing malveillantes.
Chercheurs en sécurité à Cyberactualité découvert cette nouvelle méthode d’attaque en décembre de l’année dernière lors d’une opération de numérisation de routine. Cependant, leurs découvertes ont conduit à la découverte d’un stratagème illégal pour gagner de l’argent qui a été utilisé pour compromettre des centaines de sites qui exécutent des versions obsolètes de WordPress ou qui n’ont pas la version appropriée. Plugins de sécurité WordPress installée.
Pour ce faire, les cybercriminels responsables ont d’abord piraté les sites Web vulnérables à l’aide d’exploits ou d’attaques de bourrage d’informations d’identification. En injectant un script PHP dans les installations WordPress des sites ciblés, ils ont pu les transformer en points de commande et de contrôle qui diffusaient des publicités malveillantes lorsqu’ils étaient déclenchés par des scripts de deuxième phase ou ouverts par un lien. Étonnamment, tous les scripts PHP malveillants trouvés par Cyberactualité se faisaient tous passer pour légitimes Plugins WordPress.
Cyberactualité‘ Vincentas Baubonis a expliqué dans un nouveau rapport comment un morceau de Javascript code a initialement conduit les chercheurs en sécurité à enquêter plus avant, en disant :
« Ce morceau particulier de code JavaScript a attiré l’attention de l’équipe en raison de l’obscurcissement important et des conditions de déploiement étranges. L’obscurcissement du code est une technique employée par les développeurs légitimes et les acteurs malveillants pour empêcher l’ingénierie inverse. Dans ce cas, il a été utilisé pour inverser la charge utile réelle pour la dissimulation de code malveillant. »
Cibler les anciens sites WordPress
Après que les scripts PHP malveillants aient été conçus pour ressembler à des plugins légitimes, des attaques automatisées ont été lancées contre les anciennes versions des sites WordPress pour insérer des références dans leur code HTML qui ont conduit aux points de commande et de contrôle précédemment piratés.
Selon Cyberactualité, la première phase de toutes les itérations de cette attaque a compromis quatre sites qui ont ensuite été utilisés pour héberger des scripts de commande et de contrôle tandis que la deuxième étape ciblait principalement les sites exécutant des versions plus anciennes de WordPress allant de 3.5.1 à 4.9.1. L’équipe de recherche de la publication a trouvé au moins 560 sites WordPress compromis et parmi ceux-ci, 382 ont été forcés d’exécuter du code malveillant. Heureusement, à la suite d’erreurs ou des mesures de sécurité intégrées de WordPress, tous les sites compromis n’ont pas été en mesure de générer des revenus pour les cybercriminels responsables.
En outre, seuls sept sites sur dix diffusaient des publicités malveillantes, peut-être pour des raisons techniques ou intégrées. Thème WordPress sécurité qui empêchait le code de s’exécuter dans des endroits où il n’était pas censé le faire.
En ce qui concerne les pays avec les sites les plus ciblés, les États-Unis comptaient 201 sites Web compromis, suivis de la France (62), de l’Allemagne (51) et du Royaume-Uni (34). En ce qui concerne la hébergement Web les fournisseurs sont les plus touchés, Allez papa prend la première place avec 42 sites suivi de WebsiteWelcome avec 30 sites et OVH ISP avec 27 sites. Cependant, lorsque les données ont été indexées par le FAI, OVH SAS était en tête de liste avec 55 sites Web piratés avec Unified Layer en deuxième position avec 53 sites Web et GoDaddy en troisième avec 43 sites Web.
Cybernews’ dernier rapport est un autre rappel de l’importance de maintenir votre site WordPress à jour. Si la mise à jour de votre site WordPress est quelque chose que vous oubliez souvent de faire, alors vous feriez peut-être mieux de vous inscrire à un WordPress géré solution au lieu de tout faire soi-même.
Passant par Cyberactualité
— to www.techradar.com