Les cybercriminels ciblent des sites WordPress obsolètes pour diffuser des publicités de phishing

Les cybercriminels ont commencé à cibler les sites WordPress exécutant des versions plus anciennes du CMS le plus populaire au monde afin de les utiliser pour diffuser des publicités de phishing malveillantes. Les chercheurs en sécurité de Cybernews ont découvert cette nouvelle méthode d’attaque en décembre de l’année dernière lors d’une opération d’analyse de routine. Cependant, leurs découvertes ont conduit à la découverte d’un système illégal de création d’argent qui a été utilisé pour compromettre des centaines de sites qui exécutent des versions obsolètes de WordPress ou qui n’ont pas installé les plugins de sécurité WordPress appropriés. les cybercriminels responsables ont d’abord piraté les sites Web vulnérables en utilisant des exploits ou des attaques de bourrage d’informations d’identification. En injectant un script PHP dans les installations WordPress des sites ciblés, ils ont pu les transformer en points de commande et de contrôle qui diffusaient des publicités malveillantes lorsqu’ils étaient déclenchés par des scripts de deuxième phase ou ouverts par un lien. Étonnamment, tous les scripts PHP malveillants trouvés par Cybernews se faisaient passer pour des plugins WordPress légitimes. Vincentas Baubonis de Cybernews a expliqué dans un nouveau rapport comment un morceau de code JavaScript a initialement conduit les chercheurs en sécurité à enquêter plus avant, en disant Le code JavaScript a attiré l’attention de l’équipe en raison d’une forte obfuscation et de conditions de déploiement étranges. L’obscurcissement du code est une technique employée par les développeurs légitimes et les acteurs malveillants pour empêcher l’ingénierie inverse. Dans ce cas, il a été utilisé pour inverser la charge utile réelle pour la dissimulation de code malveillant. »

Cibler les anciens sites WordPress

Après que les scripts PHP malveillants ont été conçus pour ressembler à des plugins légitimes, des attaques automatisées ont été lancées contre les anciennes versions des sites WordPress pour insérer des références dans leur HTML qui ont conduit aux points de commande et de contrôle précédemment piratés. Selon Cybernews, la première phase de toutes les itérations de cette attaque a compromis quatre sites qui ont ensuite été utilisés pour héberger des scripts de commande et de contrôle tandis que la deuxième étape ciblait principalement des sites exécutant des versions plus anciennes de WordPress allant de 3.5.1 à 4.9.1. L’équipe de recherche de la publication a trouvé au moins 560 sites WordPress compromis et parmi ceux-ci, 382 ont été forcés d’exécuter du code malveillant. Heureusement, à la suite d’erreurs ou des mesures de sécurité intégrées de WordPress, tous les sites compromis n’ont pas été en mesure de générer des revenus pour les cybercriminels responsables. De plus, seuls sept sites sur dix diffusaient des publicités malveillantes. peut-être pour des raisons techniques ou la sécurité intégrée du thème WordPress qui empêchait le code de s’exécuter dans des endroits où il n’était pas censé le faire. En ce qui concerne les pays avec les sites les plus ciblés, les États-Unis avaient 201 sites Web compromis suivis de France (62), Allemagne (51) et Royaume-Uni (34). En ce qui concerne les fournisseurs d’hébergement Web les plus touchés, GoDaddy a pris la première place avec 42 sites Web, suivi de WebsiteWelcome avec 30 sites Web et d’OVH ISP avec 27 sites Web. Cependant, lorsque les données ont été indexées par le FAI, OVH SAS était en tête de liste avec 55 sites Web piratés avec Unified Layer en deuxième position avec 53 sites Web et GoDaddy en troisième avec 43 sites Web. Le dernier rapport de Cybernews est un autre rappel de l’importance de garder votre Site WordPress à jour. Si la mise à jour de votre site WordPress est quelque chose que vous oubliez souvent de faire, alors vous feriez peut-être mieux de vous inscrire à une solution WordPress gérée plutôt que de tout faire vous-même.Via Cybernews