Plus d'un million de sites WordPress auraient été infectés et compromis par les malwares Balada Injector depuis 2017, selon les chercheurs de chez Sucuri. Pour atteindre un tel nombre, toutes les failles connues des thèmes et des plugins auraient été exploitées.
La campagne dure depuis des années, et les attaques se produisent par vagues répétées chaque mois.
Des portes dérobées partout
D'après la société de cybersécurité Sucuri, ce sont plus d'un million de sites web WordPress qui ont été compromis depuis le début de cette attaque longue durée. Pour agir, les pirates injectent des backdoors (portes dérobées) dans les plugins ou les thèmes installés par les utilisateurs. Une fois que les failles ont été exploitées correctement, Balada permet aux pirates de renvoyer les internautes vers de faux supports techniques, des pages de faux gains de loterie, ou encore d'envoyer de fausses notifications accompagnées de captcha qui, évidemment, relèvent de l'escroquerie.
Le problème est que Balada utilise de nombreux vecteurs allant du piratage d'URL à l'intégration de code HTML malicieux en passant par la recherche d'outils tels qu'Adminer ou PhpMyAdmin. De plus, chaque attaque est réalisée avec des noms de domaines récents. Autrement dit, les pirates parviennent à éviter les listes de blocage pendant un temps. La variété des méthodes d'injection est telle que certaines infections apparaissent en double et que des sites déjà compromis sont à nouveau ciblés. Sucuri met notamment en avant le cas d'un site WordPress en particulier qui a été attaqué 311 fois avec 11 versions différentes de Balada Injector.
Une menace indestructible ?
Le fait que Balada soit assez facile à repérer ne diminue en rien sa dangerosité. Les scripts du logiciel se concentrent en effet sur l'extraction des données sensibles, et donc d'identification. Concrètement, cela signifie que si un utilisateur repère la menace et la supprime, les pirates conservent, au moins temporairement, l'accès au site.
Pire encore, la liste des fichiers à cibler est régulièrement mise à jour, et dans le cas où les chemins d'accès classiques sont bloqués, les attaquants peuvent toujours tenter de forcer le mot de passe administrateur avec un ensemble de 74 informations d'identification. D'après les chercheurs, le nombre d'attaques et l'absence de Balada sur un certain nombre de sites compromis indiquent que les logiciels malveillants ont visé des sites hébergés sur des serveurs privés ou virtuels « montrant des signes de mauvaise gestion ou de négligence ».
Cela permet de rechercher les sites partageant les mêmes comptes de serveurs ou autorisation, et donc d'attaquer plusieurs cibles en même temps pour multiplier les backdoors sans avoir à déployer plus d'injecteurs. Vous l'aurez compris, il n'existe pas de méthode spécifique à suivre pour prévenir une infection par les logiciels Balada Injector. En revanche, il est de bon ton de rappeler qu'un mot de passe complexe et unique, une identification à deux facteurs et une vérification régulière des fichiers peuvent limiter les risques.
Source : The Hacker News
Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellement de jeux à faire que j'ai dû créer un tableur. Rédacteur newseur depuis 6 ans, j'aime faire vivre l'actualité aux lecteurs.
Lire d'autres articles
