WordPress exploité pour des attaques par Ransomware

Depuis quelques jours, de nombreux sites sous WordPress sont piratés pour infecter les utilisateurs avec Ransomware.


Wordpress est utilisé pour rediriger des visiteurs vers des sites qui infectent avec des Ransomware.

Depuis environ 4 jours, des chercheurs de 3 firmes de sécurité rapportent une grande quantité d’attaques provenant de sites légitimes sous Worpdress qui ont été piraté afin de rediriger les visiteurs vers des sites malveillants. Ces sites malveillants contiennent le kit d’exploit Nuclear qu’on peut acheter dans les marchés noirs du web. Les gens, qui visitent ces sites et qui ont des versions obsolètes de Flash, d’Adobe Reader, de Microsoft Silverlight ou d’Internet Explorer, peuvent être infectés avec le Teslacrypt. Un Ransomware est une vraie saloperie, car il chiffre les fichiers de l’utilisateur et demande une rançon à l’utilisateur pour la clé du chiffrement.

Selon Malwarebytes, les sites WordPress sont injectés avec une grande quantité de code douteux qui redirige les visiteurs vers d’autres sites qui infectent le Ransomware. Le site d’attaque va afficher de la publicité qui va exploiter des failles dans Flash, Reader, Silverlight et Internet Explorer. Sucuri a révélé une autre attaque, bien plus importante, qui consiste à injecter du code chiffré sur tous les fichiers JavaScript d’un site WordPress. Le contenu chiffré varie pour chaque site, mais une fois qu’on le déchiffre, il ressemble au suivant :

Des sites WordPress utilisés pour propager des attaques par Ransomware

Le genre de code qu’on peut voir sur un site WordPress infecté.

Et les auteurs de cette attaque par Ransomware ont pris leurs précautions. Pour éviter que les chercheurs puissent analyser le site compromis, le code malveillant affecte uniquement les premiers visiteurs. De plus, le code redirige vers plusieurs sites intermédiaires avant d’arriver au site qui abrite le Ransomware. Le Safe Browsing de Google a déjà bloqué plusieurs domaines, mais les pirates possèdent d’autres domaines en réserve.

Heimdal Security avertit également qu’un antivirus ne servira pas à grand-chose. Seuls 2 sur 66 antivirus testés par la firme ont pu détecter le code du Ransomware. On ignore encore comment les pirates infectent les sites sous WordPress, mais cela pourrait être lié à une erreur dans l’authentification ou qu’il y a une faille dans WordPress qui n’a pas encore été détectée. Mais la piste la plus probable est une combinaison des 2 et on ajoute le fait qu’il y a aussi les risques liés aux plug-ins. De plus, les pirates semblent avoir un accès au serveur du site sous WordPress, car quand un site est nettoyé, la réinfection est quasi immédiate et cela prouve que c’est le serveur qui a été compromis. Les firmes de sécurité vont donner plus d’informations une fois que les analyses seront complètes. Mais en attendant, on recommande les conseils habituels. Désactivez immédiatement le Flash et Adobe Reader dans vos navigateurs, mettez à jour tous vos logiciels et pour les sites WordPress, installez des plug-ins de sécurité et utilisez la double authentification.

 

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *