Une nouvelle campagne de piratage infectant des centaines de sites hébergés par des sites hébergés par GoDaddy a été découverte. tsoHost, 123Reg, Domain Factory, Heart Internet et Host Europe, avec un total de 298 sites infectés. Cette porte dérobée sans nom, a-t-il été expliqué plus loin, est utilisée depuis au moins sept ans. Les acteurs de la menace l’ajoutent au début de wp-config.php et son objectif semble être de générer des résultats de recherche Google spammés, y compris des ressources personnalisées pour le site infecté.
TLD russe
« Si une demande avec un cookie défini sur une certaine valeur encodée en base64 est envoyée au site, la porte dérobée téléchargera un modèle de lien de spam à partir d’un domaine de commande et de contrôle (C2) – dans ce cas t-fish-ka[.]ru – et enregistrez-le dans un fichier codé avec un nom défini sur le hachage MD5 du domaine du site infecté », ont expliqué les chercheurs. « Par exemple, le fichier codé pour ‘examplesite.com’ serait nommé , qui est un hachage de ce domaine. » Le domaine C2 a un domaine de premier niveau russe, mais rien n’indique que cette campagne particulière ait quelque chose à à voir avec l’invasion en cours de l’Ukraine par la Russie. Les chercheurs n’ont pas encore découvert comment les acteurs de la menace se sont introduits dans les services de GoDaddy, spéculant que cela pourrait être lié à l’attaque de l’année dernière contre les systèmes de l’entreprise. En 2021, GoDaddy a signalé qu’un attaquant inconnu accédait à ses systèmes utilisés pour provisionner ses sites WordPress gérés. Il est conseillé aux clients de la plate-forme WordPress gérée de GoDaddy d’analyser manuellement le fichier wp-config.php de leur site ou d’exécuter une analyse avec une solution de détection de logiciels malveillants pour s’assurer que leurs locaux sont propres. Ceux qui trouvent quelque chose peuvent utiliser les instructions trouvées sur ce lien, pour nettoyer leurs sites de tout code malveillant ou virus.