Attention à vos plugins ! Plus d'un million de sites WordPress sont infectés par des malwares

Publié le 13 avril 2023 à 08h45

Plus d'un million de sites WordPress auraient été infectés et compromis par les malwares Balada Injector depuis 2017, selon les chercheurs de chez Sucuri. Pour atteindre un tel nombre, toutes les failles connues des thèmes et des plugins auraient été exploitées.

La campagne dure depuis des années, et les attaques se produisent par vagues répétées chaque mois.

Des portes dérobées partout

D'après la société de cybersécurité Sucuri, ce sont plus d'un million de sites web WordPress qui ont été compromis depuis le début de cette attaque longue durée. Pour agir, les pirates injectent des backdoors (portes dérobées) dans les plugins ou les thèmes installés par les utilisateurs. Une fois que les failles ont été exploitées correctement, Balada permet aux pirates de renvoyer les internautes vers de faux supports techniques, des pages de faux gains de loterie, ou encore d'envoyer de fausses notifications accompagnées de captcha qui, évidemment, relèvent de l'escroquerie.

Le problème est que Balada utilise de nombreux vecteurs allant du piratage d'URL à l'intégration de code HTML malicieux en passant par la recherche d'outils tels qu'Adminer ou PhpMyAdmin. De plus, chaque attaque est réalisée avec des noms de domaines récents. Autrement dit, les pirates parviennent à éviter les listes de blocage pendant un temps. La variété des méthodes d'injection est telle que certaines infections apparaissent en double et que des sites déjà compromis sont à nouveau ciblés. Sucuri met notamment en avant le cas d'un site WordPress en particulier qui a été attaqué 311 fois avec 11 versions différentes de Balada Injector.

Une menace indestructible ?

Le fait que Balada soit assez facile à repérer ne diminue en rien sa dangerosité. Les scripts du logiciel se concentrent en effet sur l'extraction des données sensibles, et donc d'identification. Concrètement, cela signifie que si un utilisateur repère la menace et la supprime, les pirates conservent, au moins temporairement, l'accès au site.

Pire encore, la liste des fichiers à cibler est régulièrement mise à jour, et dans le cas où les chemins d'accès classiques sont bloqués, les attaquants peuvent toujours tenter de forcer le mot de passe administrateur avec un ensemble de 74 informations d'identification. D'après les chercheurs, le nombre d'attaques et l'absence de Balada sur un certain nombre de sites compromis indiquent que les logiciels malveillants ont visé des sites hébergés sur des serveurs privés ou virtuels « montrant des signes de mauvaise gestion ou de négligence ».

Cela permet de rechercher les sites partageant les mêmes comptes de serveurs ou autorisation, et donc d'attaquer plusieurs cibles en même temps pour multiplier les backdoors sans avoir à déployer plus d'injecteurs. Vous l'aurez compris, il n'existe pas de méthode spécifique à suivre pour prévenir une infection par les logiciels Balada Injector. En revanche, il est de bon ton de rappeler qu'un mot de passe complexe et unique, une identification à deux facteurs et une vérification régulière des fichiers peuvent limiter les risques.

Source : The Hacker News

Par Mallory Delicourt

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellement de jeux à faire que j'ai dû créer un tableur. Rédacteur newseur depuis 6 ans, j'aime faire vivre l'actualité aux lecteurs.

Articles de Mallory Delicourt

Piratage

Malware / Ransomware

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

Squeak

Ca c’est un des problèmes du développement Web malheureusement, car à partir du moment où on utilise des bibliothèques, des morceaux de codes récupérés à gauche et à droite, on s’expose au risque de failles de sécurité.

En même temps, il serait contre-productif de réaliser tout à partir de zéro et réinventer la roue. Mais je suis d’avis quand même qu’il ne faut pas tomber dans la fainéantise totale et réfléchir parfois à ce que l’on utilise et se concentrer sur les projets maintenus avec une communauté réactive.

Avec Angular par exemple, la tentation est quand même forte de faire des « npm install » à tout va car il y a énormément de modules qui couvrent tous les aspects mais j’ai déjà vu des modules abandonnés, obsolètes… qui peuvent donc représenter un risque.

ld9474

Vous aurez remarqué que sur les dernières versiosns de npm, vous avez des alertes concernant les packages. Par ailleurs, il est possible d’utiliser des services qui notent les packages (White source par exemple).

Concernant Wordpress, cela ne m’étonne pas du tout. Les composants peuvent être mis à disposition sans qu’aucune vérification préalable ne soit effectuée. Qui plus est, ce ne sont pas des gens de la technique qui administrent mais plutôt des fonctionnels (c’est un peu le but de l’outil). Je dirai par conséquent que cette pénétration de malware est parfaitement logique.

dFxed

Avoir subit un exploit d’un plugin obsolète sur le site de ma société nous a permis de mettre en valeur le côté mise à jour du code de notre vitrine.
Car récupérer du logiciel gratuit c’est bien, mais s’il n’est pas mis a jour sur un endroit où la surface d’attaque est aussi grande que celle d’un site web, c’est le hack assuré.
Et payer une maintenance pour un site web vitrine, ce n’est pas encore quelque-chose de répandu ni d’automatique

mrassol

Yep, mes clients ne comprennent pas ca non plus …

wackyseb

Qu’est ce que j’en ai eu des sites piratés dans ma jeunesse mais assez peu en Wordpress. Plutôt avec Joomla.
En général, même sans aucun plug-ins installé sous OVH, il fallait entre 12 et 18 mois pour être infecté, voir de la pub et ne plus pouvoir interagir avec son propre site.

J’ai lâché l’affaire. C’était pas mon métier, j’avais pas le temps pour le SAV des gens qui voulais un site pour montrer quelques photos de leurs créations. Au mieux, avec la sauvegarde, je réinjectais le code. C’était des sites statique. Aucune interaction, juste quelques pages, rien à vendre.
Maintenant les mêmes clients vendent en direct sur des boutiques en ligne type ETSY.
Beaucoup plus simple. Tu paie pour un service mais tu ne te poses pas de question.