Les sites WordPress sont attaqués par un groupe de pirates qui tente de créer des comptes d’administrateur non autorisés

Les pirates exploitent les vulnérabilités de plus de dix plugins WordPress pour créer des comptes administrateurs.

Un groupe de hackers exploite des vulnérabilités dans plus de dix plugins WordPress pour créer des comptes d’administrateur non autorisés sur des sites WordPress sur Internet.

Les attaques font partie intégrante d’ une campagne de piratage informatique lancée le mois dernier . Lors d’attaques précédentes, les pirates ont exploité des vulnérabilités dans les mêmes plugins pour installer du code malveillant sur les sites piratés. Ce code était destiné à afficher des annonces contextuelles ou à rediriger les visiteurs entrants vers d’autres sites Web.

Cependant, il y a deux semaines, le groupe responsable de ces attaques a changé de tactique . Mikey Veenstra, analyste des menaces chez la société de cybersécurité Defiant, a déclaré que, à compter du 20 août, le groupe de pirates informatiques a modifié le code malveillant créé sur les sites piratés.

Au lieu d’insérer simplement des fenêtres contextuelles et des redirections, le code malveillant exécutait également une fonction afin de déterminer si le visiteur du site avait la possibilité de créer des comptes d’utilisateurs sur le site, une fonctionnalité uniquement disponible pour les comptes d’administrateur WordPress.

En gros, ce code malveillant attendait que le propriétaire du site accède à ses propres sites Web. À ce moment-là, le code malveillant crée un nouveau compte administrateur appelé wpservices , à l’aide de l’adresse de messagerie wpservices@yandex.com et du mot de passe de w0rdpr3ss .

En créant ces comptes, le groupe de hackers à l’origine de cette campagne a changé la tactique consistant à exploiter les sites pour générer des bénéfices monétaires, mais à également ajouter des portes pour une utilisation future et une plus grande persistance.

Selon Veenstra, ces attaques récentes ciblent des vulnérabilités plus anciennes dans les plugins suivants.

• Bold Page Builder
• Blog Designer
• Live Chat with Facebook Messenger
• Yuzo Related Posts
• Visual CSS Style Editor
• WP Live Chat Support
• Form Lightbox
• Hybrid Composer
• All former NicDark plugins (nd-booking, nd-travel, nd-learning, et. al.)

Les plugins étant liés à leurs vulnérabilités respectives, les lecteurs peuvent déterminer la version à mettre à jour, afin de prévenir les attaques, s’ils utilisent l’un des plugins.

Après avoir mis à jour les plugins suivants, il est également conseillé aux propriétaires de sites de vérifier les noms d’utilisateur des administrateurs enregistrés sur leurs sites. Il est impératif de supprimer ces comptes, car leur seul objectif était de créer une voie d’accès aux sites Web après la mise à jour des plugins vulnérables par les utilisateurs.

Nettoyer des sites WordPress infectés peut être assez compliqué, car les propriétaires de sites devront également scanner leurs sites Web avec des plugins de sécurité WordPress afin de rechercher divers autres mécanismes que les pirates pourraient avoir utilisé. Les utilisateurs non techniques sont invités à demander l’aide d’un professionnel.

Source: « https://www.zdnet.com/article/wordpress-sites-under-attack-as-hacker-group-tries-to-create-rogue-admin-accounts/«