Plus de 1 000 sites WordPress ont été compromis par une campagne de piratage utilisant du JavaScript malveillant pour implanter des portes dérobées. Ce code injecté donne aux attaquants un accès persistant aux sites infectés, rendant leur éradication particulièrement complexe. Cette attaque s’inscrit dans une vague croissante de cybermenaces ciblant les sites web, posant ainsi un risque majeur pour la sécurité des utilisateurs et des administrateurs de WordPress.
Un JavaScript malveillant utilisé pour implanter plusieurs portes dérobées
Plusieurs accès cachés pour maximiser l’intrusion
Les cybercriminels exploitent une stratégie sophistiquée en injectant quatre portes dérobées distinctes sur les sites WordPress compromis. Selon l’expert en cybersécurité Himanshu Anand, cette technique permet aux attaquants de conserver un accès au site même si l’une des portes dérobées est détectée et supprimée.
Le code malveillant est diffusé via le domaine cdn.csyndication[.]com. Actuellement, au moins 908 sites contiennent des références à ce domaine infecté, montrant l’ampleur de cette campagne de piratage.
Fonctionnement des quatre portes dérobées
Les sites touchés sont infectés de différentes manières :
- Porte dérobée 1 : Un faux plugin nommé Ultra SEO Processor est installé sur le site, permettant aux attaquants d’exécuter des commandes arbitraires.
- Porte dérobée 2 : Un JavaScript malveillant est injecté dans le fichier wp-config.php, un fichier clé du fonctionnement de WordPress.
- Porte dérobée 3 : Une clé SSH contrôlée par les attaquants est ajoutée au fichier ~/.ssh/authorized_keys, facilitant un accès distant persistant.
- Porte dérobée 4 : Un script exécute des commandes à distance et récupère une charge utile hébergée sur gsocket[.]io, probablement pour établir un shell inversé.
Comment se protéger de cette menace ?
Mesures préventives pour les administrateurs de sites WordPress
Pour réduire les risques liés à cette attaque, il est recommandé de :
- Supprimer immédiatement toute clé SSH non autorisée.
- Modifier les identifiants administrateurs de WordPress.
- Surveiller les journaux système à la recherche d’activités suspectes.
Autres campagnes malveillantes affectant les sites web
Cette attaque survient alors qu’une autre campagne de piratage a compromis plus de 35 000 sites en injectant du JavaScript capable de détourner complètement la fenêtre du navigateur de l’utilisateur. Ces attaques redirigent les visiteurs vers des plateformes de jeux d’argent en chinois sous la marque Kaiyun.
Les redirections sont orchestrées par des JavaScript hébergés sur plusieurs domaines :
- mlbetjs[.]com
- ptfafajs[.]com
- zuizhongjs[.]com
- jbwzzzjs[.]com
- jpbkte[.]com
Nouvelles tactiques de cybercriminalité ciblant les e-commerçants
Une attaque visant les sites Magento pour récolter des empreintes numériques
En parallèle, un rapport de Group-IB a révélé une campagne menée par un groupe appelé ScreamedJungle. Ce dernier infiltre des sites de e-commerce Magento en injectant un JavaScript connu sous le nom de Bablosoft JS. Cette technique permet de collecter des informations sur les visiteurs afin d’imiter leur comportement et contourner les mesures de sécurité.
Failles exploitées et conséquences
Les cybercriminels tirent parti de failles connues affectant Magento, notamment CVE-2024-34102 (CosmicSting) et CVE-2024-20720. Ces vulnérabilités permettent aux attaquants d’accéder aux sites et de récolter des empreintes numériques des visiteurs à des fins frauduleuses.
Se former à l’éthique du piratage et à la cybersécurité
Face à ces menaces, il devient essentiel de comprendre les méthodes utilisées par les attaquants pour mieux s’en défendre. Les administrateurs de sites peuvent approfondir leurs connaissances avec un livre pour apprendre à hacker, qui expose les techniques d’attaque et de défense en cybersécurité.
Chez CyberCare, nous proposons des solutions de cybersécurité avancées pour protéger vos sites web contre ces nouvelles menaces et renforcer la protection de vos données.
