Compromission de WordPress pour les infections par TeslaCrypt

Les exploitants de sites tournant sous WordPress ont été mis en garde contre une nouvelle campagne malveillante qui utilise cette plateforme pour propager une infection que les logiciels antivirus détectent avec difficulté jusqu’à présent.

Des chercheurs de Heimdal Security ont découvert des centaines de sites compromis qui redirigent les internautes vers Nuclear, un puissant kit d’exploitation pour les applications Adobe vulnérables (Flash, Reader, Acrobat), ainsi que pour Internet Explorer et Microsoft Silverlight.

A la fin du mois de novembre, le kit d’exploitation Nuclear a été amélioré en vue de pouvoir diffuser Cryptowall ; dans le cas présent, la charge utile cible est le malware de chiffrement TeslaCrypt.

A l’instar de son confrère, ce malware chiffre les fichiers sur le disque local et exige le paiement d’une rançon pour obtenir la clé de déchiffrement. D’après les estimations de FireEye, les escrocs ont récolté ainsi en trois mois au début de l’année dernière près de 76,5 mille de dollars. Ce montant est toutefois modeste si on le compare aux revenus d’autres « collègues », notamment les exploitants de Cryptolocker. Une nouvelle version de Teslacrypt a été découverte en juillet dernier. Elle se dissimule sous les traits de son collègue plus dangereux Cryptowall.

D’après les informations obtenues par Heimdal, dans le cadre de la campagne Teslacrypt actuelle, les individus malintentionnés ont exploité une vulnérabilité toujours inconnue sur les sites WordPress afin d’y introduire un code JavaScript obfusqué. Ce code malveillant redirige les visiteurs vers le domaine chrenovuihren qui héberge une publicité malveillante. Celle-ci renvoie à son tour tout le trafic vers le serveur de Nuclear. Heimdal a réussi à identifier trois adresses IP qui fonctionnent comme des passerelles : 159[.]203[.]24 [.] 40; 164[.]132[.]80 [.] 71; 162[.]243[.]77 [.] 214.

« Cette campagne utilise plusieurs domaines pour diffuser le code malveillant et les serveurs actifs peuvent être rapidement substitués en fonction de l’adresse IP utilisée et des résultats des recherches DNS » expliquent les chercheurs dans le blog. Le code malveillant est hébergé dans les sous-domaine chrenovuihren ; Heimdal a déjà bloqué plus de 85 domaines qui étaient activement utilisés dans cette campagne. Au début, ils n’étaient détectés que par 2 scanneurs d’adresses Internetde la collection VirusTotal.

Trois jours après la découverte réalisée par Heimdal, la société Sucuri a signalé une campagne d’envergure similaire qui visait WordPress. Les experts de Heimdal estiment que le même groupe criminel est à l’origine des deux attaques, mais ils n’ont pas encore réussi à le prouver.

Des chercheurs de chez Sucuri ont découvert que des individus malintentionnés avaient introduit un code malveillant à la fin de tous les fichiers JavaScript légitimes sur les sites compromis. Ce code attaque uniquement les nouveaux visiteurs : il installe un cookie pour 24 heures et introduit un iFrame invisible avec « Admedia » ou « advertising » dans le composant du chemin de l’URL.

Heimdal invite les exploitants de sites WordPress à mettre à jour le plus vite possible le système CMS (une nouvelle version a été diffusée la semaine dernière) et à réaliser des sauvegardes du système de fichier à intervalle régulier. La définition d’une stratégie de sauvegarde sur différents supports et la mise à jour en temps opportuns des bases antivirus constituent la meilleure protection contre les malwares de chiffrement.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *