WordPress exploité pour des attaques par Ransomware


  • FrançaisFrançais

  • Depuis quelques jours, de nombreux sites sous WordPress sont piratés pour infecter les utilisateurs avec Ransomware.


    Suivez-nous sur notre page Facebook et notre canal Telegram

    Wordpress est utilisé pour rediriger des visiteurs vers des sites qui infectent avec des Ransomware.

    Depuis environ 4 jours, des chercheurs de 3 firmes de sécurité rapportent une grande quantité d’attaques provenant de sites légitimes sous Worpdress qui ont été piraté afin de rediriger les visiteurs vers des sites malveillants. Ces sites malveillants contiennent le kit d’exploit Nuclear qu’on peut acheter dans les marchés noirs du web. Les gens, qui visitent ces sites WordPress et qui ont des versions obsolètes de Flash, d’Adobe Reader, de Microsoft Silverlight ou d’Internet Explorer, peuvent être infectés avec le Ransomware Teslacrypt. Un Ransomware est une vraie saloperie, car il chiffre les fichiers de l’utilisateur et demande une rançon à l’utilisateur pour la clé du chiffrement.

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Selon Malwarebytes, les sites WordPress sont injectés avec une grande quantité de code douteux qui redirige les visiteurs vers d’autres sites qui infectent le Ransomware. Le site d’attaque va afficher de la publicité qui va exploiter des failles dans Flash, Reader, Silverlight et Internet Explorer. Sucuri a révélé une autre attaque, bien plus importante, qui consiste à injecter du code chiffré sur tous les fichiers JavaScript d’un site WordPress. Le contenu chiffré varie pour chaque site, mais une fois qu’on le déchiffre, il ressemble au suivant :

    Des sites WordPress utilisés pour propager des attaques par Ransomware

    Le genre de code qu’on peut voir sur un site WordPress infecté.

    Et les auteurs de cette attaque par Ransomware ont pris leurs précautions. Pour éviter que les chercheurs puissent analyser le site compromis, le code malveillant affecte uniquement les premiers visiteurs. De plus, le code redirige vers plusieurs sites intermédiaires avant d’arriver au site qui abrite le Ransomware. Le Safe Browsing de Google a déjà bloqué plusieurs domaines, mais les pirates possèdent d’autres domaines en réserve.

    Heimdal Security avertit également qu’un antivirus ne servira pas à grand-chose. Seuls 2 sur 66 antivirus testés par la firme ont pu détecter le code du Ransomware. On ignore encore comment les pirates infectent les sites sous WordPress, mais cela pourrait être lié à une erreur dans l’authentification ou qu’il y a une faille dans WordPress qui n’a pas encore été détectée. Mais la piste la plus probable est une combinaison des 2 et on ajoute le fait qu’il y a aussi les risques liés aux plug-ins. De plus, les pirates semblent avoir un accès au serveur du site sous WordPress, car quand un site est nettoyé, la réinfection est quasi immédiate et cela prouve que c’est le serveur qui a été compromis. Les firmes de sécurité vont donner plus d’informations une fois que les analyses seront complètes. Mais en attendant, on recommande les conseils habituels. Désactivez immédiatement le Flash et Adobe Reader dans vos navigateurs, mettez à jour tous vos logiciels et pour les sites WordPress, installez des plug-ins de sécurité et utilisez la double authentification.

     

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.

    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *