Des sites WordPress victimes de malvertising

Cybercriminalité

Un vieux malware sème la panique au sein de la communauté WordPress, permettant à ses créateurs de prendre le contrôle de sites et d’injecter le code de leur choix.

malvertising

Selon Wordfence, l’entreprise de sécurité de WordPress, qui a publié récemment un livre blanc détaillé sur les malwares, WP-VCD n’est pas un nouveau malware. Il date de février 2017, mais il est récemment monté en puissance. La société affirme qu’il se place en tête de sa liste des infections par des malwares WordPress depuis août de cette année. De nouvelles fonctionnalités ont été ajoutées à ce malware, mais ses fonctions principales sont restées les mêmes.

Le malware se propage via des versions piratées de thèmes WordPress et de plugins diffusées par les attaquants via un réseau de sites malveillants.

Si les administrateurs, à la recherche de fonctionnalités WordPress gratuites, téléchargent ces ressources et les utilisent sur leurs propres sites WordPress, ils auront à priori infecté leurs propres serveurs.

C’est un vecteur d’attaque ingénieux car les cybercriminels qui distribuent les plugins n’ont pas besoin de partir à la recherche de nouveaux exploits dans le code WordPress ou bien de pirater des extensions légitimes. Au lieu de cela, comme l’explique Wordfence, ces hackers exploitent la cupidité humaine :

Cette campagne de diffusion ne repose pas sur l’exploitation de nouvelles vulnérabilités logicielles ni sur le piratage des identifiants de connexion : en effet, elle repose simplement sur le fait que des propriétaires de sites WordPress cherchent à accéder gratuitement à des logiciels payants.  

Une fois qu’il est parvenu à infecter un site, le malware installe alors une backdoor pour donner un accès à ses opérateurs et communique avec son serveur command-and-control (C2) avant d’infecter d’autres éléments hébergés au sein de la même infrastructure. Enfin, il supprime le code malveillant du plugin installé pour brouiller les pistes.

La backdoor permet aux attaquants de mettre à jour le site avec un nouveau code malveillant, rapportant ainsi de l’argent aux cybercriminels-diffuseurs de deux manières différentes. Premièrement, il utilise des techniques d’empoisonnement des moteurs de recherche pour manipuler les résultats et attirer les utilisateurs insouciants vers des sites malveillants.

Deuxièmement, il intègre de la publicité malicieuse (malvertising) dans les pages visitées par les victimes, permettant ainsi aux attaquants d’injecter du code JavaScript malveillant dans leur navigateur ou de les rediriger vers d’autres sites web.

Pourquoi le malware WordPress WP-VCD a-t-il été si efficace ? Wordfence explique que cela est dû au fait que les attaquants peuvent utiliser des sites infectés pour propager leurs malwares :

Le code malvertising est déployé pour générer des revenus publicitaires au niveau des sites infectés. En cas de ralentissement de l’afflux de nouvelles infections WP-VCD, l’attaquant peut déployer un code [de recherche empoisonné] afin de diriger le trafic des moteurs de recherche sur leurs propres sites de distribution et d’attirer de nouvelles victimes.

Les malwares WP-VCD sont difficiles à éradiquer car ils injectent du code malveillant dans d’autres fichiers du système et surveillent les fichiers infectés pour les réinfecter automatiquement si l’administrateur tente de les nettoyer.

Quoi faire ?

Les conseils de Sophos en matière de plugin pour les administrateurs WordPress est le suivant :

  • Réduisez le nombre de plugins que vous avez installé. Supprimez toujours les plugins que vous n’utilisez plus. Gardez votre surface d’attaque aussi petite que possible.
  • Gardez vos plugins à jour. Un logiciel de blogging tel que WordPress peut se maintenir à jour automatiquement, mais vous devez par contre gérer les plugins vous-même.
  • Supprimez les plugins qui semblent délaissés par leurs développeurs. Ne conservez pas de plugins abandonnés, car ils ne recevront plus de correctifs de sécurité.
  • Sachez dès le départ ce que vous devez rechercher dans vos logs. Sachez où aller pour trouver les traces des activités de votre serveur web, de votre logiciel de blogging et de vos plugins. Les attaques se détectent souvent facilement et assez tôt si vous savez quoi rechercher et si vous le faites régulièrement.

Oh, et pour finir … ne piratez pas de logiciels !

Techniquement, il n’y a aucune raison pour que le piratage d’un logiciel soit plus dangereux que l’acquisition de celui-ci légalement, une bonne copie est, après tout, une bonne copie. Mais la nature plutôt suspecte des sites de téléchargement de logiciels malveillants signifie que la seule chose dont vous pouvez être sûr, c’est que vous avez affaire à des escrocs.


Billet inspiré de WordPress sites hit by malvertising, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.