Principaux renseignements
- Plus de 6 000 sites web ont été compromis par une campagne utilisant de faux plugins WordPress.
- Cette campagne, baptisée ClickFix, s’appuie sur des informations d’identification volées pour installer des plugins malveillants qui diffusent des logiciels malveillants et des outils de vol d’informations à des utilisateurs peu méfiants.
- Plus de 25 000 sites Web ont été compromis par ClickFix depuis août 2023.
Des pirates ont compromis plus de 6 000 sites web par le biais d’une campagne utilisant de faux plugins WordPress. Cette campagne, baptisée ClickFix, s’appuie sur des informations d’identification volées pour installer des plugins malveillants qui diffusent des logiciels malveillants et des outils de vol d’informations à des utilisateurs qui ne se doutent de rien. L’équipe de sécurité de GoDaddy signale que depuis juin 2024, cette campagne a infecté plus de 6 000 sites avec ces plugins contrefaits.
L’activité de ClickFix remonte à août 2023, et il a maintenant compromis plus de 25 000 sites Web dans l’ensemble. Les attaquants n’ont pas exploité les vulnérabilités connues de WordPress, mais semblent avoir obtenu des identifiants d’administration WordPress légitimes pour chaque site affecté. Ces faux plugins sont conçus pour paraître inoffensifs aux administrateurs de sites web. Cependant, les visiteurs de ces sites peuvent rencontrer des invites de mise à jour de navigateur frauduleuses et d’autres contenus malveillants.
Comportement malveillant des plugins
Les plugins injectent du code JavaScript nuisible contenant une variante de logiciel malveillant de fausse mise à jour du navigateur connue sous le nom d’EtherHiding. Ce malware utilise la blockchain et les contrats intelligents pour télécharger des charges utiles malveillantes. Lorsqu’il est exécuté dans le navigateur de l’utilisateur, le JavaScript présente de fausses notifications de mise à jour du navigateur qui incitent les utilisateurs à installer des logiciels malveillants tels que des trojans d’accès à distance (RAT) ou des voleurs d’informations comme Vidar Stealer et Lumma Stealer.
Caractéristiques des faux plugins
Les faux plugins utilisent des noms génériques tels que « Advanced User Manager » ou « Quick Cache Cleaner ». Leurs répertoires ne contiennent que trois fichiers : index.php, .DS_Store et un fichier -script.js dont le nom correspond généralement au titre du plugin. L’avis précise que le code sous-jacent est volontairement simple pour ne pas éveiller les soupçons. Un crochet pour l’action wp_enqueue_scripts charge le script malveillant du répertoire du plugin dans les pages de WordPress.
Implications et stratégies d’atténuation
La présence d’identifiants valides pour l’administration de WordPress suggère que les pirates ont utilisé des méthodes telles que des attaques par force brute, des campagnes d’hameçonnage ou même des infections par des logiciels malveillants sur les ordinateurs des administrateurs de sites web pour obtenir ces identifiants.
L’authentification multifactorielle et d’autres contrôles d’accès, tels que la vérification de l’identité de l’appareil, les contrôles de santé et le suivi de la localisation, pourraient potentiellement atténuer les risques posés par les informations d’identification volées.
Si vous souhaitez accéder à tous les articles, abonnez-vous ici!