WordPress visé par une campagne de piratage : des milliers de sites seraient infectés par Visitor Tracker
lun, 28/09/2015 - 11:34
Selon le spécialiste Sucuri, le CMS WordPress est soumis a une campagne de piratage. Le but de cette campagne est d'injecter du code malveillant dans les pages Web afin d'attaquer les visiteurs via du Cross-Site Scripting pour injecter ensuite des malwares sur leurs postes de travail.
Sucuri a remarqué un gros pic d'infections de sites WordPress. Un graphique représentant l'évolution du taux d'infection des sites, ne présente rien de très rassurant.
Les sites infectés tournent avec WordPress 4.3.1, c'est-à-dire la dernière version en date du CMS, mais rien de permet de dire s'ils ont été infectés sous cette version ou auparavant.
Le code JavaScript malveillant est injecté dans tous les fichiers JavaScript du site. Il ressemble à ceci:
function visitorTracker_isMob ()
var ua = window.navigator.userAgent.toLowerCase();
if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|mi..|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc .. |vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i.test(ua.substr(0,4))) {
return true;
return false;
} /* .. visitorTracker .. */ /*
Le nom de la fonction ci-dessous a donné son nom à cette attaque : Visitor Tracker.
Le code malveillant injecte des iframes dans les pages du site :
Ces iframes redirigent les visiteurs vers de fausse mises à jour du plugin Flash, qui aboutissent à l'installation d'un logiciel malveillant sur le poste de travail, ou redirigent sur des pages de téléchargement de faux outils de réparation pour Windows, qui sont eux aussi des malwares.
Pour l'instant, le point d'entrée de l'injection de code malveillant dans les sites WordPress n'est pas connu. Selon Sucuri, la campagne de piratage cible de récentes vulnérabilités des plugins, ce qui n'est pas très précis.
Pour tenter de déjouer au mieux cette attaque, les responsables de sites WordPress ont bien sûr tout intérêt à faire leurs mises à jours en attente le plus tôt possible.
Comme le suggère Sucuri, les administrateurs qui ont accès au serveur de leurs sites peuvent lancer une commande grep pour déterminer s'ils sont ou non infectés. Quelque chose dans l'esprit de ceci :
grep -r "visitorTracker_isMob" /var/www/