Plus de 2.000 sites WordPress infectés

Sécurité informatique

Ars Technica nous informe de la présence d’un keylogger (enregistreur de frappe) sur plus de 2 000 sites utilisant le CMS WordPress (source PublicWWW). Le script enregistre entre autre les mots de passe des administrateurs et des visiteurs des sites touchés.

Ce keylogger se trouve dans un lot de logiciels malveillants qui installe également un mineur de cryptomonnaie dans le navigateur de l’utilisateur.

Un air de déjà vu

L’entreprise de sécurité informatique Sucuri indique que le même code malveillant avait été trouvé dans près de 5.500 sites WordPress en décembre dernier. Ces infections ont été depuis nettoyées. Il s’agit là donc de la seconde vague. Les nouvelles infections sont hébergées sur trois nouveaux sites : msdns[.]online, cdns[.]ws, et cdjs[.]online.

« De nombreux sites n’ont pas été protégés correctement après l’infection initiale »

« Bien que ces nouvelles attaques ne semblent pas encore aussi massives que la campagne originale de cloudflare[.]solutions , Le taux de réinfection montre qu’il existe encore de nombreux sites qui n’ont pas été protégés correctement après l’infection initiale » écrit le chercheur de Sucuri, Denis Sinegubko. « Il est possible que certains de ces sites n’aient même pas remarqué l’infection initiale. »

« Malheureusement pour les utilisateurs non informés et les propriétaires des sites Web infectés, le keylogger se comporte de la même manière que dans les campagnes précédentes » écrit Denis Sinegubko, dans un article de blog. « Le script envoie les données saisies sur les formulaires de site Web (y compris le formulaire de connexion) aux pirates via le protocole WebSocket. »

L’attaque fonctionne en injectant une variété de scripts dans les sites Web WordPress. Les scripts injectés au cours du dernier mois comprennent:

  • hxxps://cdjs[.]online/lib.js
  • hxxps://cdjs[.]online/lib.js?ver=…
  • hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…
  • hxxps://msdns[.]online/lib/mnngldr.js?ver=…
  • hxxps://msdns[.]online/lib/klldr.js

Obsolescence quand tu nous tiens

Selon toute probabilité, les attaquants exploitent les failles de sécurité résultant de l’utilisation de logiciels obsolètes.

C’est pourquoi nous ne répèterons jamais assez qu’il est primordial de maintenir à jour son site internet.

 

Source : More than 2.000 WordPress websites are infected with a keylogger – Ars Technica

Retrouvez nos articles

One Reply to “Plus de 2.000 sites WordPress infectés”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *