Au cours de la dernière année, nous avons constaté une infection par un logiciel malveillant en cours qui redirige les visiteurs du site Web vers des sites frauduleux. Jusqu’à présent cette année, notre surveillance a détecté plus de 3 000 sites Web infectés par cette injection cette année et plus de 17 000 au total depuis que nous l’avons détectée pour la première fois en mars 2021. Le comportement signalé est toujours le même : après quelques secondes de chargement, le site Web rediriger vers un site d’escroquerie douteux.
Vérification de la charge utile
Le malware est toujours injecté dans le fichier footer.php du thème actif, et contient du JavaScript obscurci après une longue série de lignes vides, essayant sans doute de rester caché : Une fois que nous désobscurcissons cela, nous voyons l’extrait suivant du code malveillant : Le les attaquants ajustent fréquemment l’injection très légèrement, mais nous remarquons encore et encore que les mêmes domaines lancent la redirection : amads[.]marché de la technologie amusant[.]uads d’encre[.]boutique 5[.]188[.]62[.]157 uads[.]vivre comme une rencontre[.]top techmarket[.]encrer
Source d’infection ?
Il ne semble pas y avoir de plugin ou de thème vulnérable particulier que les attaquants ont exploité, et nous l’avons vu apparaître sur des environnements WordPress entièrement mis à jour. Il semble que les attaquants utilisent des comptes d’administrateur wp-admin compromis (soit par la force brute, le bourrage de mots de passe ou des informations d’identification divulguées) et abusent de la fonctionnalité d’éditeur de fichiers intégré pour injecter le logiciel malveillant. Il convient également de prendre en considération ce que les attaquants tentent de tirer de ces redirections. Bien que de nombreux utilisateurs se méfient immédiatement de ce qui semble être un faux site Web d’escroquerie évident, ce n’est pas toujours le cas. Les attaquants ne redirigeraient pas les gens vers ces sites Web s’ils n’en bénéficiaient pas, donc de temps en temps quelqu’un va suivre et tomber dans l’escroquerie. Les lecteurs devraient consulter notre guide sur la façon de se protéger des escroqueries en ligne.
En conclusion
Les lecteurs devraient consulter notre guide de renforcement de base de WordPress pour aider à sécuriser votre panneau d’administration wp-admin. Cela se résume à quelques concepts de base clés :
- Limitez l’accès à votre espace d’administration
- Utiliser l’authentification multifacteur
- Limitez le nombre d’utilisateurs administrateurs sur votre site Web
/li>
Bien sûr, si vous êtes un utilisateur de notre service de pare-feu, nous pouvons vous aider à empêcher tout accès non autorisé assez facilement en utilisant l’option de sécurité des pages protégées !