Les campagnes ClickFix battent leur plein depuis un an environ, et le mouvement ne donne aucun signe d’essoufflement.
À la rentrée, des CAPTCHA malicieux téléchargeaient de scripts d’infostealer sur les appareils des internautes piégés, la semaine dernière des correctifs factices pour Google Meet servaient de trojans aux hackers. Aujourd’hui, ce sont des milliers de sites WordPress, piratés en amont, qui affichent des plugins vérolés, générant de fausses alertes de mises à jour pour les navigateurs. Prudence, donc, si vous avez l’habitude de consulter des sites et blogs hébergés par la plateforme de gestion de contenus.
6 000 sites WordPress piratés
Il aura fallu des signalements croisés émanant de GoDaddy et de Sucuri pour prendre conscience de l’ampleur de l’attaque. Vendredi dernier, le gestionnaire de nom de domaine publiait une note de blog évoquant la compromission de plus de 6 000 sites WordPress dans le cadre d’une campagne ClickFix, dont le dernier variant, très actif en ce moment, est surveillé de près depuis le mois de juin 2024. En complément, la société de sécurité a, elle aussi, mis le doigt sur des composants vecteurs d’infostealers, participant à cette même campagne.
Dans le détail, l’attaque suit un schéma similaire à ceux déjà observés par le passé. Des éléments web frauduleux poussent discrètement les internautes à cliquer sur des pop-ups de manière à télécharger un infostealer. Dans ce cas précis, il s’agit de plugins malicieux, intégrés aux pages WordPress infectées, générant des alertes de mises à jour pour les navigateurs web. Une fois le script récupéré, utilisateurs et utilisatrices sont invités à l’installer. Mais alors qu’ils pensent simplement mettre à jour Google Chrome et consorts, ils activent en réalité une charge utile destinée à voler et exfiltrer vers un serveur distant leurs données personnelles.
Mais alors que, jusqu’ici, les méthodes ClickFix adressaient les internautes en direct, via de fausses pages web notamment, les pirates à l’origine de cette nouvelle attaque seraient parvenus à s’introduire dans les sites WordPress incriminés grâce à des vols d’identifiants préalables – a priori récupérés par force brute, phishing et infostealer. D’après les analyses de GoDaddy, ils auraient ensuite automatisé l’installation des plugins, en apparence légitimes et inoffensifs, via la console admin. Une fois configurés, ces modules vérolés injectent un script JavaScript dans le HTML du site compromis, déclenchant le système d’alerte frauduleux côté lecteurs et lectrices, à chaque visite.
Revoir ses habitudes de navigation pour ne pas se faire avoir
Si vous avez l’habitude de consulter des sites et blogs hébergés par WordPress, veillez donc à rester extrêmement vigilant. Si jamais vous rencontrez ces types d’alertes, ne cliquez surtout pas sur le lien embarqué et prévenez l’administrateur du blog. Gardez à l’esprit que les navigateurs effectuent généralement leurs mises à jour de manière automatique. En cas de doute, n’hésitez pas à vérifier l’état des updates dans les paramètres du programme, ou rendez-vous directement sur la plateforme officielle de l’éditeur pour en télécharger la dernière version. Un antivirus complémentaire à Microsoft Defender ou au système de sécurité natif d’Apple, comme Bitdefender ou Norton 360, peut aussi vous aider à échapper aux téléchargements et aux installations de scripts malveillants.
Si vous êtes vous-même administrateur d’un blog WordPress, contrôlez dès à présent la liste des plugins installés sur votre site. En cas de découverte d’un module suspect, supprimez-le immédiatement et renouvelez votre jeu de mots de passe admin sans attendre.
16 octobre 2024 à 11h48
