Conditional Malware et Wordpress

22.09.2014 | Réseau Dumac
1226 visiteurs  -  Aucun commentaire

De nouveaux types d’attaques surviennent au niveau des sites propulsés par Wordpress : les malware conditionnels.

Qu’est-ce qu’un malaware conditionnel ? Définition

Il s’agit d’un petit programme (généralement quelques lignes de code PHP injectées dans un fichier de type "include", donc appelé depuis des pages) qui va faire s’exécuter une fonction informatique dans certaines conditions.

Pour le pirate informatique ayant mis en place ce malware conditionnel, l’intérêt est multiple :

-  Son code malicieux a plus de chances de passer inaperçu puisqu’il ne s’exécute pas à chaque appel de la page
-  L’exécution de ce code répond à une stratégie de piratage ciblée : seuls les internautes répondant aux conditions de déclenchement subiront l’attaque. Tous ceux qui ne répondent pas aux critères de sélection ne risquent rien. Du coup, le pirate est sûr que les résultats de son ciblage lui permettent de qualifier ses victimes pour une attaque ultérieure par exemple.

Un des derniers scripts malicieux identifié exploitant cette technique filtre les internautes utilisant un navigateur obsolète, et exécute l’affichage d’une page de type "iframe" (qui remplace une page existante par un contenu hébergé sur un autre serveur, de manière "invisible" pour un internaute lambda). Bien entendu, la page en question va tenter d’exécuter d’autres codes malicieux (identifiés comme fonctionnant avec le navigateur obsolète), ou de subtiliser des informations à l’insu de l’internaute, etc

Les ennemis : RuizePlastica() ; et Glosignal18bob

Sur la plupart des sites infectés, les webmasters ou administrateurs peuvent chercher dans le code de leurs pages la fonction RuizePlastica() ; ou encore Glosignal18bob=1 qui correspond à un cookie unique déposé sur le navigateur de l’internaute visiteur, afin de ne lui présenter le malware qu’une seule fois (qui ainsi, s’il demande de l’aide après avoir affiché la page contaminée, ne peut reproduire l’opération).

En plus de risquer l’attaque informatique (et donc de mettre en danger les visiteurs de son propre site) le webmaster/adminstrateur risque de voir sa page bloquée par Google avec le message suivant : "Avertissement - L’accès à ce site risque d’endommager votre ordinateur."

Ce malware conditionnel sévit sur les sites Worpress (mais pas uniquement) depuis le mois de Septembre 2014, comme l’indiquent les nombreuses questions et témoignages présents sur le web (comme ici : http://www.webdeveloper.com/forum/showthread.php ?300697-Big-Problem)

Pour en savoir plus (site en anglais) http://blog.sucuri.net/2014/09/conditional-malicious-iframe-targeting-wordpress-web-sites.html

Bref, encore de quoi occuper les admin et autres responsables de la sécurité informatique ! Car les attaques sur les CMS continuent de connaître un essor exponentiel, comme les failles de sécurité de plugin WordPress, le piratage des données SEO d’un site WP, codes malicieux dans Worpress, etc

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 7 visiteurs par jour (133270 au total)

Haut de page | XHTML 1.0 | CSS 2