Les cybercriminels ont commencé à cibler les sites WordPress exécutant des versions plus anciennes du CMS le plus populaire au monde afin de les utiliser pour diffuser des publicités de phishing malveillantes. Cependant, leurs découvertes ont conduit à la découverte d’un système illégal de création d’argent qui a été utilisé pour compromettre des centaines de sites qui exécutent des versions obsolètes de WordPress ou qui n’ont pas installé les plugins de sécurité WordPress appropriés. les cybercriminels responsables ont d’abord piraté les sites Web vulnérables en utilisant des exploits ou des attaques de bourrage d’informations d’identification. En injectant un script PHP dans les installations WordPress des sites ciblés, ils ont pu les transformer en points de commande et de contrôle qui diffusaient des publicités malveillantes lorsqu’ils étaient déclenchés par des scripts de deuxième phase ou ouverts par un lien. Étonnamment., en disant Le code JavaScript a attiré l’attention de l’équipe en raison d’une forte obfuscation et de conditions de déploiement étranges. L’obscurcissement du code est une technique employée par les développeurs légitimes et les acteurs malveillants pour empêcher l’ingénierie inverse. Dans ce cas, il a été utilisé pour inverser la charge utile réelle pour la dissimulation de code malveillant. »
Cibler les anciens sites WordPress
Après que les scripts PHP malveillants ont été conçus pour ressembler à des plugins légitimes, des attaques automatisées ont été lancées contre les anciennes versions des sites WordPress pour insérer des références dans leur HTML qui ont conduit aux points de commande et de contrôle précédemment piratés. la première phase de toutes les itérations de cette attaque a compromis quatre sites qui ont ensuite été utilisés pour héberger des scripts de commande et de contrôle tandis que la deuxième étape ciblait principalement des sites exécutant des versions plus anciennes de WordPress allant de 3.5.1 à 4.9.1. L’équipe de recherche de la publication a trouvé au moins 560 sites WordPress compromis et parmi ceux-ci, 382 ont été forcés d’exécuter du code malveillant. Heureusement, à la suite d’erreurs ou des mesures de sécurité intégrées de WordPress, tous les sites compromis n’ont pas été en mesure de générer des revenus pour les cybercriminels responsables. De plus, seuls sept sites sur dix diffusaient des publicités malveillantes. peut-être pour des raisons techniques ou la sécurité intégrée du thème WordPress qui empêchait le code de s’exécuter dans des endroits où il n’était pas censé le faire. En ce qui concerne les pays avec les sites les plus ciblés, les États-Unis avaient 201 sites Web compromis suivis de France (62), Allemagne (51) et Royaume-Uni (34). En ce qui concerne les fournisseurs d’hébergement Web les plus touchés, GoDaddy a pris la première place avec 42 sites Web, suivi de WebsiteWelcome avec 30 sites Web et d’OVH ISP avec 27 sites Web. Cependant, lorsque les données ont été indexées par le FAI, OVH SAS était en tête de liste avec 55 sites Web piratés avec Unified Layer en deuxième position avec 53 sites Web et GoDaddy en troisième avec 43 sites Web. Si la mise à jour de votre site WordPress est quelque chose que vous oubliez souvent de faire, alors vous feriez peut-être mieux de vous inscrire à une solution WordPress gérée plutôt que de tout faire vous-même.