Des chercheurs en sécurité de la société de sécurité et de protection du Web Sucuri ont découvert que les cybercriminels utilisaient des plugins malveillants, qui se cachent à la vue et servent de portes dérobées, pour accéder aux sites WordPress et les maintenir.
La firme a découvert que deux de ces faux plug-ins avec fonctionnalité de porte dérobée, nommés initiatorseo ou updrat123 par leurs créateurs, avaient été observés en train de cloner la fonctionnalité du plugin de sauvegarde et de restauration WordPress UpdraftPlus.
De faux plugins peuvent facilement être créés à l'aide d'outils automatisés ou en injectant des charges utiles malveillantes telles que des shells Web dans le code source de plugins légitimes. Ces plugins malveillants ne figurent pas non plus dans le tableau de bord WordPress d'un site Web compromis, car ils ont été conçus pour rester invisibles.
Les chercheurs de Sucuri ont découvert que les plugins n'annoncent leur présence à un attaquant que s'ils interrogent le site Web à l'aide d'une requête GET avec des paramètres personnalisés tels que initiationactivity ou testingkey.
Sommaire
Faux plugins WordPress
Le but principal de ces faux plugins est d’agir en tant que porte dérobée sur les sites WordPress compromis, offrant même aux attaquants un accès aux serveurs après la suppression du vecteur d’infection initial.
Les attaquants utilisent ensuite ces portes dérobées pour télécharger des fichiers arbitraires à des fins malveillantes sur les serveurs des sites Web infectés à l'aide de requêtes POST. Ces demandes contiennent des paramètres avec des informations sur l'URL d'emplacement de téléchargement, le chemin où les fichiers doivent être écrits et le nom sous lequel les fichiers doivent être supprimés.
Sucuri a noté que les attaquants avaient également lancé des shells Web, des scripts malveillants fournissant un accès distant au serveur, à des emplacements aléatoires sur les serveurs des sites compromis. Des scripts portant des noms aléatoires ont également été téléchargés dans les répertoires racine des sites pour donner aux attaquants la possibilité de lancer des attaques par force brute contre d'autres sites Web.
Dans un article de blog, Denis Sinegubko, de Sucuri, a expliqué qu'il ne suffisait plus de nettoyer les parties visibles d'une infection après avoir été victime d'une attaque. Il a déclaré:
«Bien qu'aucune des approches utilisées par cette attaque ne soit nouvelle, elle montre clairement que le nettoyage des seules parties visibles d'une infection ne suffit pas. Les pirates veulent conserver l'accès aux sites Web aussi longtemps qu'ils le peuvent. Pour ce faire, ils téléchargent diverses portes dérobées dans des fichiers aléatoires dispersés sur l'ensemble du site. Parfois, les portes dérobées se présentent sous la forme de plugins WordPress qui peuvent même ne pas être visibles à partir de l'interface d'administration. En outre, les sites Web compromis peuvent être utilisés pour des activités malveillantes totalement invisibles de l’extérieur, notamment des attaques par DDoS et des attaques par force brute, l'envoi de tonnes de spam ou la cryptographie. Seul le contrôle de l'intégrité des analyses de sécurité du système de fichiers et côté serveur peut aider à détecter ce type de malware. ”
Via l'ordinateur de saignement