News Breaking
Live
wb_sunny

Breaking News

Plus de 20.000 sites WordPress utilisent des thèmes premium troyens.

  Plus de 20.000 sites WordPress utilisent des thèmes premium troyens.

Plus de 20.000 sites WordPress utilisent des thèmes premium troyens.

février 22, 2020 0


Un acteur de la menace qui a infecté plus de 20 000 sites WordPress en exécutant la même astuce depuis au moins trois ans : distribuer des versions troyennes de thèmes et de plugins WordPress haut de gamme.

L'opération compte des dizaines de places de marché non officielles, probablement gérées par le même acteur, spécifiquement mises en place pour fournir des composants WordPress annulés (piratés).


Une fois que la victime a téléchargé un composant compromis sur le serveur web, l'acteur de la menace peut ajouter un compte administratif et lancer les étapes d'attaque qui précèdent la fraude publicitaire et la distribution de kits d'exploitation aux visiteurs du site web.
Le réseau de distribution compte au moins 30 sites web, énumérés à la fin de l'article, qui font l'objet d'une promotion active. Le réseau de sites web compromis est important, 20 000 étant une estimation prudente puisque certains des plugins et thèmes corrompus ont bien plus de 125 000 vues. L'un des composants, "Ultimate Support Chat", a environ 700 000 vues.

Quant aux victimes, les petites et moyennes entreprises dans divers domaines en représentent un cinquième. Certaines des plus importantes sont :
  •     un site web décentralisé de crypto-mining
  •     une société de bourse basée aux États-Unis
  •     une petite banque basée aux États-Unis
  •     une organisation pétrochimique gérée par le gouvernement
  •     une compagnie d'assurance basée aux États-Unis
  •     un grand fabricant basé aux États-Unis
  •     une organisation américaine de solutions de cartes de paiement
  •     une organisation de services informatiques basée aux États-Unis

Derrière cette reprise se cache le malware WP-VCD qui est documenté dans des rapports de sécurité depuis février 2017 et signalé par les utilisateurs sur divers forums de support.

Les attaquants ont injecté dans les composants de WordPress deux fichiers PHP malveillants ("class.theme-module.php" et "class.plugin-modules.php") avec des fonctions de communication de commande et de contrôle (C2) et responsables de l'activation du malware ("wp-vcd.php"). Ensuite, les deux fichiers s'effacent d'eux-mêmes.

Les chercheurs de la société de renseignement de sécurité Prevailion ont découvert que dans la première phase de l'attaque, un code supplémentaire est téléchargé pour ajouter un cookie persistant au navigateur d'un visiteur lorsqu'il se rend sur le site web compromis de Google, Yahoo, Yandex, MSN, Baidu, Bing et DoubleClick.

Le cookie est défini pour expirer dans 1 000 jours et inclut le site web de référence et le domaine compromis visité.

"Une fois que le cookie a été attaché à l'utilisateur final, son adresse IP est ajoutée à une liste qui vit dans le fichier appelé "wp-feed.php"", dit Prevailion dans un rapport aujourd'hui.

Pour assurer la persistance, les attaquants ont ajouté le code WP_CD_Code du chargement initial à plusieurs fichiers. Cela a permis au code de survivre et de maintenir l'accès même lorsque les administrateurs ont supprimé un fichier qui l'incluait.

Les attaquants utilisent 13 domaines pour la commande et le contrôle, bien que certains d'entre eux ne soient que des redirections :
  •     vosmas[.]icu                       
  •     tdreg[.]icu
  •     tdreg[.]top
  •     medsource [...] top
  •     tretas [...] haut de page
  •     piastas[.]gdn
  •     omniprésent [...] haut de page
  •     vtoras [...] haut de page
  •     dolodos [...] haut de page
  •     piasuna[.]gdn
  •     semasa[.]icu
  •     vosmas[.]icu
  •     devata[.]icu

L'objectif de l'opération, que Prevailion a baptisée "le labyrinthe de PHP", est multiple, l'optimisation pour les moteurs de recherche (SEO) en étant un aspect. Ce volet de la campagne vise à accroître la visibilité des sites contrôlés par l'agresseur afin de piéger davantage de victimes.

La fraude publicitaire est une autre facette de la campagne et les attaquants s'appuient sur une version modifiée d'un script accessible au public (https://chevereto.com/community/threads/how-to-add-anti-adblock-code-php.8457/) qui désactive le logiciel de blocage des publicités dans le navigateur. Cette tactique est utilisée depuis au moins septembre 2019.

L'attaquant gagne de l'argent en diffusant des publicités sur des sites web compromis. Le réseau utilisé à cette fin est le service de publicité Propeller, qui a été utilisé dans le passé à des fins malveillantes, notamment pour faire de la publicité malveillante en faveur du kit d'exploitation des retombées.

Selon Prevailion, les publicités affichées par l'acteur de la menace étaient bénignes et leur rapportaient un demi-centime par clic. Une utilisation malveillante a également été observée, cependant, pour inciter les utilisateurs à télécharger des logiciels publicitaires qui poussaient probablement les logiciels malveillants.
List of websites distributing compromised WordPress themes and plugins:
  • ull5[.]top
  • Freedownload[.]network
  • Downloadfreethemes[.]io
  • Themesfreedownload[.]net
  • Downloadfreethemes[.]co
  • Downloadfreethemes[.]pw
  • Wpfreedownload[.]press
  • Freenulled[.]top
  • Nulledzip[.]download
  • Download-freethemes[.]download
  • Wpmania[.]download
  • Themesdad[.]com
  • Downloadfreethemes[.]download
  • Downloadfreethemes[.]space
  • Download-freethemes[.]download
  • Themesfreedownload[.]top
  • Wpmania[.]download
  • Premiumfreethemes[.]top
  • Downloadfreethemes[.]space
  • Downloadfreethemes[.]cc
  • Freethemes[.]space
  • Premiumfreethemes[.]top
  • Downloadfreenulled[.]download
  • Downloadfreethemes[.]download
  • Freethemes[.]space
  • Dlword[.]press
  • Downloadnulled[.]pw
  • 24x7themes[.]top
  • null24[.]icu

Tags

Newsletter Signup

Sed ut perspiciatis unde omnis iste natus error sit voluptatem accusantium doloremque.

Enregistrer un commentaire