Plusieurs milliers de sites Wordpress infectés par du code malveillant

WordPress par Lucas Roquilly

 

Plus de 3000 sites fonctionnant avec le CMS Wordpress ont été victimes d’un hacking de masse pendant le mois de septembre 2018. Dans la grande majorité des cas, ce piratage aurait pu être évité par une maintenance de sécurité efficace.

La plupart des sites ciblés se sont vus injectés du code malveillant redirigeant une partie de ses visiteurs vers de fausses annonces de support technique.

Des plugins et thèmes Wordpress obsolètes

Ce sont les chercheurs en sécurité de MalwareBytes qui ont rapporté la vague d’attaques le 20 septembre, après que leurs crawlers aient remarqué un nombre inhabituel de sites Wordpress piratés. D’après leurs recherches, les sites affectés utilisaient souvent des plugins ou des thèmes Wordpress non mis à jour. Sont cités par Sucuri les thèmes tagDiv (Newspaper, Newsmag et autres) ou le plugin Smart Google Code Inserter (versions antérieures à 3.5).

En exploitant les failles de sécurité de ces plugins et thèmes Wordpress obsolètes, les hackers ont pu injecter du code sur les sites ciblés. Ainsi, ils ont pu insérer du code dans l’entête des fichiers HTML afin de charger des fichiers Javascript externes lors d’une visite sur le site, ou encore directement dans les bases de données Wordpress (wp_post).

Hacking : maintenance évolutive et corrective des CMS Wordpress

- Exemple de code malveillant injecté

Une fois infecté, le site victime du hack redirige une partie du trafic du site vers des pop-ups d’alertes de sécurité, qui renvoient vers des pages d’escroquerie au faux support technique. Pour empêcher les utilisateurs de fermer ces pop-ups, les hackers utilisent la faille du “curseur maléfique” (Evil cursor) présente sur Google Chrome (69.0.3497.81). Persuadées d’être infectés par un virus informatique, certaines victimes composent alors le numéro de support technique affiché sur la popup. Ils sont alors mis en relation avec un faux support technique (souvent situé en Inde) qui procède à une escroquerie au faux support technique.

Maintenance plugins thèmes Wordpress : sécurité CMS

- Un exemple de pop-up ouverte par le code malveillant

Escroquerie au faux support technique

Le mode opératoire de ces arnaques est souvent le même : alors que vous naviguez sur internet, une pop-up s’ouvre et vous indique que votre ordinateur est contaminé, et qu’il faut appeler le support de Microsoft afin de le nettoyer. Au téléphone avec un opérateur, celui-ci vous demande l’accès à distance à votre ordinateur afin de réaliser des commandes de vérification. C’est là qu’il met en place une “syskey”, un mot de passe qui bloque entièrement le système d’exploitation. Pour connaître le mot de passe et débloquer votre ordinateur, l’opérateur réclame une rançon.

Ces méthodes sont bien connues des chercheurs en sécurité et même du grand public. En 2017, Microsoft a annoncé recevoir 153000 rapports d’utilisateurs victimes d’escroquerie au faux support technique. De son côté, Google a annoncé mettre en place un programme de vérification pour les sociétés souhaitant émettre des annonces publicitaires de support technique. En France, le gouvernement a mis en place un portail pour les victimes de ce type de cybermalveillance.

Comment réparer ou éviter ce type d’attaque ?

Les propriétaires des sites Wordpress visés par cette attaque n’ont pas beaucoup de solutions à leur disposition pour réparer leur site. Malwarebytes recommande une purge exhaustive de toutes les pages, bases de données et backdoors. Plus important encore, il faut identifier la racine de la faille de sécurité et la résoudre définitivement. Toujours d’après Malwarebytes, le nombre de sites infectés ne cesse d’augmenter, ce qui laisserait penser que cette vague de piratages n’est pas finie.

Depuis plus de 15 ans, Webpool est spécialiste de la sécurité et de la maintenance des CMS Open-Source (Wordpress, Joomla!, Drupal, Prestashop…). Nous proposons des prestations à la carte de maintenance préventive et corrective de vos CMS. N’hésitez pas à nous contacter pour obtenir un audit express et un devis gratuit en 24 heures.

Article suivant Article précédent