
Une nouvelle campagne de logiciels malveillants a compromis plus de 5 000 sites WordPress pour créer des comptes d’administrateur, installer un plugin malveillant et voler des données.
Des chercheurs de la société de sécurité webscript c / side ont découvert lors d’un engagement de réponse à un incident pour l’un de leurs clients que l’activité malveillante utilisait le wp3[.] domaine xyz pour exfiltrer les données mais n’ont pas encore déterminé le vecteur d’infection initial.
Après avoir compromis une cible, un script malveillant chargé à partir du wp3[.]le domaine xyz crée le compte administrateur non autorisé wpx_admin avec les informations d’identification disponibles dans le code.

Le script procède ensuite à l’installation d’un plugin malveillant (plugin.php) téléchargé à partir du même domaine et l’active sur le site Web compromis.
Selon c / cide, le but du plugin est de collecter des données sensibles, telles que les informations d’identification et les journaux de l’administrateur, et de les envoyer au serveur de l’attaquant de manière obscurcie qui les fait apparaître comme une demande d’image.
L’attaque implique également plusieurs étapes de vérification, telles que la journalisation de l’état de l’opération après la création du compte administrateur malveillant et la vérification de l’installation du plugin malveillant.
Bloquer les attaques
c / side recommande aux propriétaires de sites Web de bloquer le » wp3[.] domaine de xyz à l’aide de pare-feu et d’outils de sécurité.
De plus, les administrateurs doivent examiner les autres comptes privilégiés et la liste des plugins installés, pour identifier les activités non autorisées, et les supprimer dès que possible.
Enfin, il est recommandé de renforcer les protections CSRF sur les sites WordPress via la génération de jetons uniques, la validation côté serveur et la régénération périodique. Les jetons doivent avoir un délai d’expiration court pour limiter leur période de validité.
La mise en œuvre de l’authentification multifacteur ajoute également une protection aux comptes dont les informations d’identification ont déjà été compromises.