De nouvelles recherches ont révélé que plus de 2000 sites WordPress ont piraté dans le cadre d'une campagne pour rediriger les visiteurs vers un certain nombre de sites frauduleux qui contiennent des abonnements aux notifications indésirables, de fausses enquêtes, des cadeaux et même de faux téléchargements Adobe Flash.
La firme de sécurité Sucuri a découvert la campagne de piratage pour la première fois lorsque ses chercheurs ont détecté des attaquants exploitant des vulnérabilités dans des plugins WordPress. Selon Luke Leal de l'entreprise, le formulaire de contact CP avec PayPal et les plugins Simple Fields sont exploités, mais d'autres plugins ont probablement également été ciblés.
Lorsqu'un attaquant exploite l'une de ces vulnérabilités, il leur permet d'injecter du JavaScript qui charge les scripts des sites admarketlocation et gotosecond2 directement dans le thème d'un site.
Une fois qu'un visiteur accède à un site piraté, le script injecté tentera d'accéder à deux URL administratives (/wp-admin/options-general.php et /wp-admin/theme-editor.php) en arrière-plan afin d'injecter des scripts supplémentaires ou pour modifier les paramètres de WrodPress qui redirigeront également les visiteurs. Cependant, ces URL nécessitent un accès administrateur, elles ne fonctionneront donc que si un administrateur accède au site.
Sommaire
Pages d'escroquerie
Les attaquants ont écrit leurs scripts pour que les visiteurs sans les privilèges administratifs seront redirigés vers une série de sites qui les mèneront éventuellement à diverses pages d'arnaque. Ces pages indiquent ensuite aux utilisateurs qu'ils doivent s'abonner aux notifications du navigateur pour continuer.
Cliquez sur le bouton Autoriser pour activer les notifications, puis redirigez les visiteurs vers d'autres sites d'escroquerie en poussant de fausses enquêtes, des escroqueries d'assistance technique et de fausses mises à jour d'Adobe Flash Player.
Sucuri a également découvert que les attaquants avaient créé de faux répertoires de plugins qui sont utilisés pour télécharger des logiciels malveillants supplémentaires sur les sites compromis. Leal a fourni plus de détails sur la façon dont les attaquants ont créé de faux répertoires de plugins dans un article de blog, en disant:
«Une autre découverte intéressante est la création de faux répertoires de plugins qui contiennent d'autres logiciels malveillants et peuvent également être générés par l'abus de l'attaquant de / wp-admin / fonctionnalités, à savoir le téléchargement de fichiers compressés zip à l'aide de / wp-admin / includes / plugin-install. fichier php pour effectuer le téléchargement et la décompression du faux plugin compressé dans / wp-content / plugins /. "
Pour voir si votre site WordPress a été piraté, Sucuri recommande d'utiliser son outil gratuit SiteCheck pour rechercher des contenus malveillants.
Via BleepingComputer
