Les analystes de la sécurité Internet ont repéré un pic d’infections de porte dérobée sur les sites Web WordPress hébergés sur le service WordPress géré de GoDaddy, tous dotés d’une charge utile de porte dérobée identique. L’affaire concerne des revendeurs de services Internet tels que MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet et Host Europe Managed WordPress. La découverte vient de Wordfence, dont l’équipe a observé pour la première fois l’activité malveillante le 11 mars 2022, avec 298 sites Web infectés par la porte dérobée dans les 24 heures, dont 281 étaient hébergés sur GoDaddy.
Moniteur d’infections de porte dérobée (Wordfence)
Ancien modèle de spammeur
La porte dérobée qui infecte tous les sites est un outil d’empoisonnement SEO de la recherche Google de 2015 implanté sur le wp-config.php pour récupérer des modèles de liens de spam du C2 qui sont utilisés pour injecter des pages malveillantes dans les résultats de recherche. La campagne utilise principalement des modèles de spam pharmaceutiques, servis aux visiteurs des sites Web compromis au lieu du contenu réel. L’objectif de ces modèles est susceptible d’inciter les victimes à acheter des produits contrefaits, en perdant de l’argent et des informations de paiement au profit des acteurs de la menace. De plus, les acteurs peuvent nuire à la réputation d’un site Web en modifiant son contenu et en rendant la violation évidente, mais cela ne semble pas être l’objectif des acteurs pour le moment. Ce type d’attaque est plus difficile à détecter et à arrêter du côté de l’utilisateur car cela se produit sur le serveur et non sur le navigateur, et en tant que tel, les outils de sécurité Internet locaux ne détecteront rien de suspect.
Attaque de la chaîne d’approvisionnement?
Le vecteur d’intrusion n’a pas été déterminé, donc bien que cela ressemble étrangement à une attaque de la chaîne d’approvisionnement, cela n’a pas été confirmé. Bleeping Computer a contacté GoDaddy pour en savoir plus sur cette possibilité, mais nous n’avons pas encore reçu de réponse. Notamment, GoDaddy a révélé une violation de données en novembre 2021 qui a affecté 1,2 million de clients et plusieurs revendeurs de services WordPress gérés, dont les six mentionnés dans l’introduction. Cette violation impliquait un accès non autorisé au système qui approvisionne les sites WordPress gérés de l’entreprise. En tant que tel, il n’est pas exagéré de suggérer que les deux événements pourraient être liés. Dans tous les cas, si votre site Web est hébergé sur la plate-forme WordPress gérée de GoDaddy, assurez-vous d’analyser votre fichier wp-config.php pour localiser les injections potentielles de porte dérobée.
À quoi ressemble la porte dérobée codée injectée (Wordfence) Wordfence rappelle également aux administrateurs que si la suppression de la porte dérobée doit être la première étape, la suppression des résultats des moteurs de recherche de spam doit également être une priorité.