Les chercheurs en sécurité ont repéré des versions contrefaites du plugin jQuery Migrate injectées sur des dizaines de sites Web contenant du code obscurci pour charger des logiciels malveillants.
Ces fichiers sont nommés jquery-migrate.js et jquery-migrate.min.js et présents aux emplacements exacts où les fichiers JavaScript sont normalement présents sur les sites WordPress mais sont en fait malveillants.
À ce jour, plus de 7,2 millions de sites Web utilisent le plugin jQuery Migrate, ce qui explique pourquoi les attaquants déguiseraient leur malware sous le nom de ce plugin populaire.
Les chercheurs repèrent les faux fichiers jQuery qui sont des logiciels malveillants
Cette semaine, les chercheurs en sécurité Denis Sinegubko et Adrian Stoian ont repéré des fichiers jQuery contrefaits se faisant passer pour le plugin jQuery Migrate sur des dizaines de sites Web.
Pour rendre la détection difficile, ces fichiers malveillants remplacent les fichiers originaux et légitimes présents à ./wp-includes/js/jquery/ sur ces sites Web, qui est le répertoire dans lequel WordPress conserve les fichiers jQuery.
Ces fichiers nommés jquery-migrate.js et jquery-migrate.min.js ont obscurci le code chargeant en outre un mystérieux fichier analytics.js contenant du code malveillant.
Nous voyons récemment de nombreux sites Web remplacés ./wp-includes/js/jquery/jquery-migrate.min.js
Il charge les logiciels malveillants de hxxps: //stick.travelinskydream[.]ga / analytics.js pic.twitter.com/3W7nSoCsLm
– Denis (@unmaskparasites) 30 mars 2021
Bien que l’ampleur de cette attaque n’ait pas encore été déterminée, Sinegubko a partagé une requête de recherche qui montre plus de trois douzaines de pages actuellement infectées par le script d’analyse malveillant.
Contrairement à son nom, cependant, le fichier d’analyse n’a rien à voir avec la collecte de métriques du site Web:
« Analytics.js » malveillant contient du code plus obscurci
Source: BleepingComputer
BleepingComputer a analysé une partie du code obscurci présent dans le fichier.
Le code fait référence à « /wp-admin/user-new.php » qui est la page d’administration WordPress pour la création de nouveaux utilisateurs. De plus, le code accède à la variable _wpnonce_create-user que WordPress utilise pour appliquer les protections de contrefaçon de requête intersite (CSRF).
De manière générale, être en mesure d’obtenir ou de définir des jetons CSRF donnerait aux attaquants la possibilité de faire des demandes falsifiées au nom des utilisateurs.
L’injection de scripts comme ceux-ci sur un site WordPress permet aux attaquants de mener une variété d’activités malveillantes, allant des escroqueries Magecart pour l’écrémage de cartes de crédit à la redirection des utilisateurs vers des sites frauduleux.
Les utilisateurs peuvent être dirigés vers de fausses enquêtes, des escroqueries au support technique, être invités à s’abonner à une notification de spam ou à télécharger des extensions de navigateur indésirables.
Mais, plus précisément dans ce cas, la fonction checkme () tente de rediriger la fenêtre du navigateur de l’utilisateur vers une URL malveillante identifiée par BleepingComputer.
En particulier, la ligne 15 du script d’analyse (illustrée ci-dessus) contient une URL codée avec ses caractères représentés sous forme de nombres ASCII.
Lors du décodage par BleepingComputer, l’URL a été identifiée comme étant:
https: //blow.talkingaboutfirms[.]ga /? sid = 54745-33-674347-21 & cid = 378345 & pidi = 654368 & aid = 27833REMARQUE: les lecteurs sont priés par prudence de ne pas accéder à l’URL ci-dessus.
Le script analytics.js redirige d’abord l’utilisateur vers cette URL, ce qui lui permet de suivre une série de redirections vers des URL de spam.
Le fichier malveillant analytics.js redirige davantage l’utilisateur vers des URL malveillantes pour demander les notifications d’autorisation
Source: BleepingComputer
Dans les exemples vus par BleepingComputer, les pages ont invité à plusieurs reprises l’utilisateur à « Autoriser » les notifications du navigateur pour vérifier qu’il ne s’agissait pas d’un robot, ou ont conduit à de fausses enquêtes visant à collecter des données utilisateur.
Jusqu’à ce que l’utilisateur clique sur « Autoriser », la séquence de redirection continue de les parcourir à travers différents domaines et pages Web, affichant le même message à l’utilisateur de manière plus créative.
Un exemple d’enquête sur le spam auquel l’utilisateur est dirigé par cette URL est présenté ci-dessous:
Faux sondage séduisant l’utilisateur sous prétexte qu’il a gagné un smartphone Samsung Galaxy S10
Source: BleepingComputer
Une recherche de cette URL nouvellement identifiée par BleepingComputer a en outre révélé plus de deux douzaines de sites Web qui en étaient infectés.
Le réseau d’URL de spam utilisé dans la séquence de redirection est également vaste avec plusieurs domaines en jeu. BleepingComputer n’a pas encore analysé chacun de ces domaines.
Taux de détection total de virus faible
Comme l’a vu BleepingComputer, au moment de la rédaction du fichier malveillant analytics.js en question, et l’URL que nous avons identifiée passeraient sous le radar de plus de 90% des moteurs antivirus, étant donné les faibles taux de détection de VirusTotal.
Par conséquent, effectuer des analyses de sécurité de vos sites Web en se basant uniquement sur l’analyse basée sur les signatures peut ne pas être suffisant pour détecter un code contrefait qui se cache dans vos instances WordPress.
Faible taux de détection des « analytics.js » malveillants
Source: VirusTotal
On ne sait pas encore comment ces scripts sont injectés ou se frayent un chemin dans les pages Web des serveurs compromis.
Si votre site Web utilise WordPress ou des plugins JavaScript populaires tels que jQuery Migrate, il est judicieux d’effectuer régulièrement des audits de sécurité approfondis et de rechercher des anomalies pouvant indiquer des signes d’activité malveillante.
Merci à Mark Roze de Spyse pour avoir fourni des données sur 7,2 millions de sites Web exécutant le plugin légitime jQuery Migrate.