Des chercheurs découvrent un logiciel malveillant se faisant passer pour un plugin de mise en cache WordPress.
- , le 13 octobre 2023
- 21 h 30 min
Des chercheurs en cybersécurité ont fait la lumière sur une nouvelle souche sophistiquée de logiciels malveillants qui se fait passer pour un plugin WordPress afin de créer furtivement des comptes d’administrateur et de contrôler à distance un site compromis.
« Doté d’un commentaire d’ouverture d’apparence professionnelle laissant entendre qu’il s’agit d’un plugin de mise en cache, ce code malveillant contient de nombreuses fonctions, ajoute des filtres pour s’empêcher d’être inclus dans la liste des plugins activés, et dispose d’une fonctionnalité de ping qui permet à un acteur malveillant de vérifier si le script est toujours opérationnel, ainsi que de capacités de modification de fichiers », a déclaré Wordfence.
Le plugin offre également la possibilité d’activer et de désactiver à distance des plugins arbitraires sur le site et de créer de faux comptes d’administrateur avec le nom d’utilisateur superadmin et un mot de passe codé en dur.
Dans ce qui est considéré comme une tentative d’effacer les traces de la compromission, il comporte une fonction appelée « _pln_cmd_hide » qui est conçue pour supprimer le compte superadministrateur lorsqu’il n’est plus nécessaire.
Parmi les autres fonctions notables du logiciel malveillant, citons la possibilité d’activer à distance diverses fonctions malveillantes, de modifier les messages et le contenu des pages, d’injecter des liens ou des boutons de spam et de faire en sorte que les robots des moteurs de recherche indexent des contenus douteux afin de rediriger les visiteurs du site vers des sites peu recommandables.
« Ensemble, ces fonctions fournissent aux attaquants tout ce dont ils ont besoin pour contrôler à distance et monétiser un site victime, au détriment du classement SEO du site et de la vie privée des utilisateurs », a déclaré le chercheur Marco Wotschka.
« L’activation à distance de plugins, la création et la suppression d’utilisateurs par l’administrateur, ainsi que le filtrage conditionnel du contenu, permettent à cette porte dérobée d’échapper à une détection facile par un utilisateur inexpérimenté.
L’ampleur des attaques et le vecteur d’intrusion initial exact utilisé pour pénétrer dans les sites sont actuellement inconnus.
Cette révélation intervient alors que Sucuri a révélé que plus de 17 000 sites Web WordPress ont été compromis au cours du mois de septembre 2023 par le malware Balada Injector afin d’ajouter des plugins malveillants et de créer des administrateurs de blog malveillants.
