Support technique
Documentation
Connexion
Nous contacter
TuxCare BlogUn logiciel malveillant avec porte dérobée Linux infecte les sites web alimentés par WordPress
par
Le 9 janvier 2023 - L'équipe de relations publiques de TuxCare
Web a découvert Linux.BackDoor.WordPressExploit.1, un outil de piratage de sites web basé sur le CMS WordPress. Il tire parti de 30 vulnérabilités dans divers plugins et thèmes pour WordPress.
Lorsque les sites web utilisent des versions obsolètes de ces modules complémentaires qui ne comportent pas de correctifs critiques, des JavaScripts malveillants sont injectés dans les pages web ciblées. En conséquence, les utilisateurs sont redirigés vers d'autres sites lorsqu'ils cliquent sur n'importe quelle partie d'une page attaquée.
Le cheval de Troie est conçu pour cibler les versions 32 bits de Linux, mais il peut également fonctionner sur les versions 64 bits. Sa fonction principale est de pirater les sites web de systèmes de gestion de contenu (CMS) WordPress et d'injecter du JavaScript malveillant dans leurs pages web. Ces attaques ciblent des plugins et des thèmes obsolètes qui contiennent des vulnérabilités que les cybercriminels peuvent exploiter.
Les plugins ciblés sont les suivants ; WP Live Chat Support Plugin, WordPress - Yuzo Related Posts, Yellow Pencil Visual Theme Customizer Plugin, Easysmtp, WP GDPR Compliance Plugin, Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972), Thim Core, Google Code Inserter, Total Donations Plugin, Post Custom Templates Lite, WP Quick Booking Manager, Faceboor Live Chat by Zotabox, Blog Designer WordPress Plugin, WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233), WP-Matomo Integration (WP-Piwik), WordPress ND Shortcodes For Visual Composer, WP Live Chat, Coming Soon Page and Maintenance Mode, Hybrid, Brizy WordPress Plugin, FV Flowplayer Video Player, WooCommerce, WordPress Coming Soon Page, WordPress theme OneTone, Simple Fields WordPress Plugin, WordPress Delucks SEO plugin, Poll, Survey, Form & Quiz Maker by OpinionStage, Social Metrics Tracker, WPeMatico RSS Feed Fetcher, and Rich Reviews.
Dans un article de Dr.Web publié le 30 décembre 2022, il est indiqué que "si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs cruciaux, les pages web ciblées sont injectées avec des JavaScripts malveillants".
Lorsque les utilisateurs tentent d'accéder à la page WordPress abusée, ils sont redirigés vers d'autres sites. Le pirate sélectionne le site de destination, qui peut être utilisé pour l'hameçonnage, la distribution de logiciels malveillants ou d'autres activités malveillantes.
Ces redirections peuvent être utilisées pour passer inaperçues et bloquer les campagnes d'hameçonnage, de distribution de logiciels malveillants et de publicité malveillante. Cependant, les opérateurs d'auto-injecteurs peuvent vendre leurs services à d'autres cybercriminels.
La porte dérobée déclenche ces attaques en exploitant des vulnérabilités connues dans les plugins et thèmes WordPress périmés susmentionnés. Des acteurs malveillants peuvent le contrôler à distance, le JavaScript nuisible provenant de serveurs distants.
Dans son billet sur le sujet, Dr.Web indique également que chacune de ces variantes contient "une fonctionnalité non implémentée permettant de pirater les comptes administrateurs des sites web ciblés à l'aide d'une attaque par force brute en appliquant des identifiants et des mots de passe connus, à l'aide de vocabulaires spéciaux". En outre, si cette fonctionnalité est mise en œuvre dans les futures versions de ce logiciel malveillant à porte dérobée, même les plugins dont les vulnérabilités ont été corrigées pourraient être exploités avec succès.
Les acteurs malveillants contrôlent le cheval de Troie à distance et communiquent l'adresse du site web à infecter par l'intermédiaire de son serveur de commande et de contrôle (C&C). Les acteurs de la menace peuvent également désactiver à distance le logiciel malveillant, l'arrêter et cesser d'enregistrer ses actions.
Web mentionne également qu'il inclut des fonctionnalités inactives qui permettraient des attaques par force brute contre les comptes d'administrateurs de sites web.
Pour se défendre contre cette menace, les administrateurs de sites web WordPress doivent mettre à jour les thèmes et les plugins fonctionnant sur le site avec la dernière version disponible et remplacer ceux qui ne sont plus développés par d'autres qui sont pris en charge.
Les sources de cet article comprennent un article de BleepingComputer.
Regardez cette actualité sur notre chaîne Youtube : https://www.youtube.com/watch?v=S-KO8QIcdIk
