Exploiter sites WordPress compromis est pas de nouvelles dans le domaine de la sécurité informatique.
Cependant, certaines campagnes semblent être plus graves que d'autres, et est donc celui-ci. Hacked sites Web d'entreprise et des blogs de nouvelles sur WordPress sont en cours d'exécution actuellement exploitées par des attaquants dans leur tentative de fournir des logiciels malveillants de porte dérobée.
Ce type de logiciel malveillant ouvre la porte à d'autres charges utiles malveillants, y compris stealers d'information, divers chevaux de Troie, et le logiciel de keylogging. Pour mener à bien ces attaques, les acteurs de la menace utilisent fausses mises à jour Chrome.
Hacked WordPress Sites - un mars 2020 Campagne Malicious
La première étape de cette campagne malveillante implique l'accès admin aux sites WordPress ciblés et blogs. Une fois qu'il est accompli, les acteurs de la menace du code JavaScript malveillant Injecter qui est ensuite rediriger les utilisateurs vers la fausse mise à jour Chrome.
Au lieu d'obtenir une mise à jour, les victimes potentielles pourraient télécharger des installateurs malveillants qui donnent le contrôle sur leurs ordinateurs grâce à une installation de TeamViewer. Une fois installé sur TeamViewer le système compromis, deux archives SFX mot de passe protégé chargés de fichiers malveillants seront désarchivée. Ceux-ci contiennent les fichiers nécessaires pour ouvrir la page de mise à jour faux et permettent des connexions à distance. Un script spécifique pour contourner de Windows intégré de protection est également activée.
Qu'est-ce que les logiciels malveillants est embarquée sur des systèmes corrompus?
- Le X-Key Keylogger;
- Le Predator et les informations de voleur stealers;
- Un cheval de Troie pour le contrôle à distance sur la RDP protocole.
Qui se cache derrière ces campagnes?
Les chercheurs en sécurité au Dr. Web croient que ce sont les mêmes acteurs de la menace qui étaient auparavant impliqués dans la diffusion d'un programme d'installation de faux d'un éditeur vidéo VSDC populaire via son site officiel et la plate-forme de téléchargement CNET.
Une précédente campagne malveillante, découverte en Août 2019, tiré parti plugins WordPress pour pirater des sites Web. Une série de plugins WordPress populaires ont été trouvés contenir une faiblesse de sécurité, ce qui permet aux pirates de prendre le contrôle des sites ciblés pour les infecter par des logiciels malveillants.
La liste des plugins WordPress exploités inclus Simple 301 - Redirects Addon - en vrac et d'autres Uploader développés par NicDark. Pour éviter de telles campagnes, les propriétaires de sites WordPress devraient maintenir une hygiène stricte de mise à jour où tout est maintenu en temps opportun et mis à jour afin, WordPress lui-même ainsi que tous les logiciels installés en plus.