Les cybercriminels ont commencé à cibler les sites WordPress qui exécutent des versions plus anciennes du système de gestion de contenu le plus populaire au monde afin de diffuser des publicités de phishing malveillantes. Cette nouvelle méthode d’attaque a été découverte pour la première fois par les chercheurs en sécurité d’un autre média en décembre de l’année dernière lors d’une opération de numérisation de routine. Leurs découvertes ont cependant conduit à la découverte d’un système illégal de création d’argent qui a été utilisé pour compromettre des centaines de sites qui exécutent des versions obsolètes de WordPress ou qui n’ont pas les plugins de sécurité WordPress nécessaires installés. Les cybercriminels qui ont mené l’attaque ont utilisé des exploits ou des attaques de credential stuffing pour accéder aux sites Web vulnérables. Ils ont pu transformer les installations WordPress des sites ciblés en points de commande et de contrôle en y injectant un script PHP, qui diffusait des publicités malveillantes lorsqu’il était déclenché par des scripts de deuxième phase ou ouvert par un lien. Étonnamment, la source a découvert que tous les scripts PHP malveillants découverts se faisaient passer pour des plugins WordPress légitimes. Dans un nouveau rapport, Vincentas Baubonis explique comment un morceau de code JavaScript a incité les chercheurs en sécurité à enquêter plus avant, en disant : Ce morceau particulier de code JavaScript a attiré l’attention de l’équipe en raison d’une forte obfuscation et de conditions de déploiement étranges. L’obscurcissement du code est une technique employée par les développeurs légitimes et les acteurs malveillants pour empêcher l’ingénierie inverse. Dans ce cas, il a été utilisé pour inverser la charge utile réelle pour la dissimulation de code malveillant.
Les anciens sites WordPress sont ciblés
- Crédit photo : iStock
Des attaques automatisées ont été lancées contre les anciennes versions des sites WordPress pour insérer des références dans leur code HTML qui ont conduit à la commande piratée et aux points de contrôle antérieurs après que les scripts PHP malveillants ont été conçus pour ressembler à des plugins légitimes. Selon la source, la première étape de cette attaque a compromis quatre sites, qui ont ensuite été utilisés pour héberger des scripts de commande et de contrôle, tandis que la deuxième étape ciblait principalement les sites exécutant des versions plus anciennes de WordPress, allant de 3.5.1 à 4.9.1.
- Crédit photo : iStock
Au moins 560 sites WordPress compromis ont été découverts par l’équipe de recherche de la publication, dont 382 ont été contraints d’exécuter du code malveillant. Heureusement, tous les sites compromis n’ont pas été en mesure de générer des revenus pour les cybercriminels responsables en raison d’erreurs ou des mesures de sécurité intégrées de WordPress. De plus, seuls sept sites sur dix diffusaient des publicités malveillantes, peut-être en raison de problèmes techniques ou de la sécurité intégrée du thème WordPress qui empêchait le code de s’exécuter là où il ne devrait pas. En ce qui concerne les pays avec les sites Web les plus compromis, les États-Unis en avaient 201, suivis de la France (62), de l’Allemagne (51) et du Royaume-Uni (34). En ce qui concerne les fournisseurs d’hébergement Web les plus touchés, GoDaddy a pris la première place avec 42 sites Web, suivi de WebsiteWelcome avec 30 sites Web et d’OVH ISP avec 27 sites Web. Cependant, lorsque les données ont été indexées par le FAI, OVH SAS était en tête de liste avec 55 sites Web piratés, suivi par Unified Layer avec 53 sites Web et GoDaddy avec 43 sites Web. Ce rapport le plus récent est un autre rappel de l’importance de maintenir votre site WordPress à jour. Si vous oubliez fréquemment de mettre à jour votre site WordPress, vous feriez peut-être mieux de vous inscrire à une solution WordPress gérée plutôt que de tout faire vous-même.