DES HACKERS PIRATENT DES SITES WORDPRESS POUR CRÉER DES BOUTIQUES EN LIGNE FRAUDULEUSES

Posté le novembre 24, 2020 à 10:18

DES HACKERS PIRATENT DES SITES WORDPRESS POUR CRÉER DES BOUTIQUES EN LIGNE FRAUDULEUSES

Un nouveau rapport a révélé qu’un groupe malveillant s’est emparé de sites WordPress sensibles pour y installer des magasins de commerce électronique secrets. Selon le rapport, les hackers s’emparent du classement original du site dans les moteurs de recherche pour promouvoir leurs arnaques en ligne.

Le groupe malveillant a également infiltré les sitemaps XML de la cible avec des milliers de messages frauduleux, ce qui fait baisser le classement du site dans le SERP.

Les acteurs malveillants envoient des milliers d’entrées de spam sur le site

Les cyberattaques visant le pot de miel WordPress ont été découvertes au début du mois par un chercheur en sécurité de l’équipe de sécurité d’Akamai, Larry Cashdollar.

Les acteurs malveillants ont utilisé une attaque de force brute pour accéder à la section admin du site. Ensuite, ils ont corrigé un code malveillant après avoir écrasé le fichier d’index principal du site WordPress.

Bien que le code annexé ait été fortement obscurci, les chercheurs ont déclaré que le rôle principal du logiciel malveillant était de se comporter comme un proxy. Le logiciel malveillant proxy peut alors envoyer tout le trafic vers un serveur de commande et de contrôle (C&C) distant contrôlé par les acteurs malveillants.

Selon Cashdollar, toute la « logique commerciale » des attaques a été réalisée sur le serveur.

Il a également souligné comment le groupe utilisant du logiciel de rançon a été en mesure de réaliser l’attaque.

Il a déclaré que la première étape est lorsque l’utilisateur visite le site WordPress, qui a déjà été piraté. Une fois que l’utilisateur demande à voir le site, le site WordPress piraté redirige la demande et envoie le serveur C&C du logiciel malveillant.

L’utilisateur est contrôlé pour voir s’il répond à certains critères avant que le serveur C&C n’informe le site d’envoyer une réponse avec un fichier HTML. Le fichier HTML est une boutique en ligne qui vend un large éventail de matériel ordinaire.

Le site WordPress piraté agit à la demande de l’utilisateur avec une boutique en ligne frauduleuse plutôt qu’avec le site principal demandé par l’utilisateur.

Cashdollar a également révélé que lorsque les hackers contrôlent le pot de miel, ils maintiennent plus de 7 000 boutiques en ligne, et le plan est de les servir aux visiteurs entrants.

De plus, les chercheurs ont révélé que le groupe de hackers avait créé un plan de site XML pour les sites WordPress compromis. Le plan du site recueille toutes les informations sur les fausses boutiques en ligne, ainsi que les pages originales du site. Cela rend leurs actions tellement puissantes qu’ils ont le contrôle total des sites WordPress compromis.

L’attaque peut sembler inoffensive mais les conséquences négatives sont graves

Les acteurs malveillants ont créé les sitemaps et les ont envoyés au moteur de recherche de Google. Et pour rester invisible et éviter d’être détecté, l’agresseur a supprimé le plan du site.

Bien que la méthode utilisée par les acteurs malveillants semble inoffensive, elle a un effet massif sur le site WordPress. En effet, elle peut empoisonner les mots clés du site d’origine avec du spam et des entrées sans rapport, ce qui, au final, réduit le classement du site dans les pages de résultats des moteurs de recherche (SERP).

Les attaquants se lancent dans un système de rançon SEO

Selon Cashholder, ce type de logiciel malveillant peut être utilisé dans le cadre de plans de rançon pour l’optimisation des moteurs de recherche. Par exemple, les acteurs malveillants pourraient infiltrer le SERP du site intentionnellement, et demander à la victime de payer une certaine somme d’argent pour que les effets s’inversent.

« Cela en fait une attaque à faible barrière pour les criminels, car ils n’ont besoin que de quelques hôtes compromis pour démarrer », a réitéré Cashdollar.

Il a également souligné qu’il existe plusieurs milliers d’installations WordPress inutilisées en ligne, et que des millions d’autres présentent des identifiants de connexion faibles ou des plug-ins obsolètes. Cela fait un énorme réservoir de victimes potentielles pour les acteurs malveillants qui veulent lancer des attaques sur ces sites WordPress.

Selon Cashdollar, la plupart de ces sites sont abandonnés depuis longtemps, et leur vulnérabilité en fait des cibles faciles. Les attaquants convertissent les sites en sites rentables pour leurs activités de piratage.

Summary
DES HACKERS PIRATENT DES SITES WORDPRESS POUR CRÉER DES BOUTIQUES EN LIGNE FRAUDULEUSES
Article Name
DES HACKERS PIRATENT DES SITES WORDPRESS POUR CRÉER DES BOUTIQUES EN LIGNE FRAUDULEUSES
Description
Un nouveau rapport a révélé qu'un groupe malveillant s'est emparé de sites WordPress sensibles pour y installer des magasins de commerce électronique secrets.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading