Exploit : des centaines de sites wordpress inféctés

Ecrit le 06/01/2023
Temps de lecture : 3 minutes
Table des matières

Des centaines de sites WordPress infectés par une porte dérobée récemment découverte, ce nouveau logiciel malveillant pour Linux exploite 30 vulnérabilités dans des plugins WordPress.

Il y a une nouvelle souche de malware qui cible les sites Web basés sur WordPress en exploitant 30 vulnérabilités connues dans divers plugins et thèmes obsolètes. Baptisé Linux.BackDoor.WordPressExploit.1, ce malware injecte du JavaScript malveillant dans les sites cibles et est conçu pour fonctionner sur les versions 32 bits de Linux, mais peut également affecter les versions 64 bits.

Selon les chercheurs en sécurité de Dr.Web, ce malware installe une porte dérobée qui permet aux sites infectés de rediriger les visiteurs vers des sites malveillants. Il peut également désactiver la journalisation des événements, passer en mode veille et s'éteindre.

En exploitant des vulnérabilités corrigées dans des plugins utilisés pour ajouter des fonctionnalités telles que le chat en direct ou les rapports métriques, le malware s'installe sur les sites WordPress.

Si les sites utilisent des versions obsolètes de ces modules complémentaires, des scripts Java malveillants sont injectés dans les pages Web ciblées et lorsque les utilisateurs cliquent sur n'importe quelle zone d'une page attaquée, ils sont redirigés vers d'autres sites. Selon les recherches, plus de 1 300 sites contenaient le JavaScript qui alimentait la porte dérobée, mais il est possible que certains d'entre eux aient depuis supprimé le code malveillant. Les plugins exploités comprennent :

  • WP Live Chat Support Plugin
  • WordPress - Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • Plugin WP GDPR Compliance
  • Thème de journal sur le contrôle d'accès WordPress (vulnérabilité CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Facebook Live Chat par Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (vulnérabilités CVE-2019-17232 et CVE-2019-17233)
  • Intégration WP-Matomo (WP-Piwik)
  • WordPress ND Shortcodes pour Visual Composer
  • WP Live Chat
  • Page Coming Soon et mode de maintenance
  • Hybride
  • Plugin WordPress Brizy
  • FV Flowplayer Video Player
  • WooCommerce
  • Page Coming Soon de WordPress
  • Thème WordPress OneTone
  • Plugin WordPress Simple Fields
  • Plugin WordPress Delucks SEO
  • Poll, Survey, Form & Quiz Maker by OpinionStage (en anglais)
  • Social Metrics Tracker
  • Récupérateur de flux RSS WPeMatico
  • Plugin Rich Reviews

Le JavaScript contient des liens vers divers domaines malveillants, notamment :

  • lobbydesires[.]com
  • letsmakeparty3[.]ga
  • deliverygoodstrategies[.]com
  • gabriellalovecats[.]com
  • css[.]digestcolect[.]com
  • clon[.]collectfasttracks[.]com
  • comte[.]trackstatistics[.]com

 

Selon des chercheurs, il existe deux versions du malware Linux.BackDoor.WordPressExploit : la première (Linux.BackDoor.WordPressExploit.1) et la seconde (Linux.BackDoor.WordPressExploit.2). La première version a été développée avec des fonctionnalités supplémentaires, telles que le passage en mode veille, l'arrêt automatique et la mise en pause de l'enregistrement de ses actions, et cible les versions 32 bits de Linux, mais peut également fonctionner sur les versions 64 bits. La seconde version, connue sous le nom de Linux.BackDoor.WordPressExploit.2, possède une adresse de serveur C2 différente, une adresse de domaine différente à partir de laquelle le JavaScript malveillant est téléchargé et cible 11 plugins supplémentaires. Selon Dr.Web, ces malware pourraient être utilisés depuis trois ans.

Les plugins WordPress sont souvent utilisés pour infecter les sites Web. Bien que la sécurité de l'application principale de WordPress soit solide, de nombreux plugins sont vulnérables et peuvent être la cause d'une infection. Les criminels utilisent souvent les sites infectés pour rediriger les visiteurs vers des sites de phishing, de fraude publicitaire et de diffusion de logiciels malveillants. Pour éviter de devenir victime de ces attaques, il est recommandé aux propriétaires de sites WordPress de s'assurer d'utiliser les versions les plus récentes du logiciel principal et des plugins, en mettant en priorité à jour les plugins énumérés ci-dessus.

Une question ? Un besoin ? Un projet ?
PAGE DE CONTACT
Notre sélection d'informations 
web chaque vendredi
Newsletters

Nos experts se tiennent à votre disposition
pour répondre à vos questions
et vous conseiller dans votre projet

Envie d’échanger avec l’un de nos experts ? Besoin d’en savoir plus ? 
Une problématique sur votre site ecommerce ?
Cliquez ici
© 2017-2023 JAG Consulting, sas. Tous droits réservés.
© 2022 JAG Consulting, sas. Tous droits réservés.
google
Brieuc Pauly
08/09/2022

Créative, dynamique et très professionnelle, c'est à mon sens les piliers qui soutiennent cette équipe talentueuse ! Une agence à taille humaine qui privilégie la qualité et le résultat. Alors si vous souhaitez le meilleur pour votre communication adressez vous les yeux fermés à ces passionnés, plus que compétents ! (Translated by Google) Creative, dynamic and very professional, these are in my opinion the pillars that support this talented team! A human-sized agency that favors quality and results. So if you want the best for your communication, turn your eyes closed to these enthusiasts, who are more than competent!

google
Amaury Tardier
08/09/2022

Merci à Julien et son équipe, plus que satisfait par le travail fourni ! Je recommande vivement ! (Translated by Google) Thanks to Julien and his team, more than satisfied with the work provided! I highly recommend !

Ravi de travailler avec l'équipe JAG pour la gestion de mon site de e-Commerce. Equipe réactive et toujours pleine de bonnes idées pour améliorer les performances du site (Translated by Google) Glad to work with the JAG team for the management of my e-Commerce site. Responsive team always full of good ideas to improve the performance of the site

Merci à Julien pour son accompagnement dans mon projet, je recommande à 200% c est le Top (Translated by Google) Thanks to Julien for his support in my project, I recommend 200% it is the top

Excellente agence. Equipe est très pro, à l'écoute et de bon conseils. (Translated by Google) Excellent agency. The team is very professional, attentive and gives good advice.

Temps de réponse hors pair quand il y a eu un pb sur mon site, je vous recommande chaleureusement Julien :-) (Translated by Google) Unparalleled response time when there was a pb on my site, I warmly recommend Julien :-)

Charger plus
list