Selon un rapport de WordFence, le programme malveillant WP-VCD est l’une des campagnes les plus actives sur les sites WordPress.
Dans un article de blog, Mikey Veenstra, analyste des menaces chez Wordfence, a déclaré que le malware avait un taux de nouvelles infections plus élevé que tout autre malware WordPress chaque semaine depuis août 2019, et que la campagne ne présentait aucun signe de ralentissement.
Le logiciel malveillant se propage via des plug-ins et des thèmes "annulés" ou piratés distribués par un réseau de sites apparentés. Son infrastructure C2 et ses infections à guérison automatique permettent aux attaquants de maintenir une emprise persistante sur les sites infectés.
Veenstra a déclaré que les cibles de cette campagne étaient les développeurs WordPress et les concepteurs à la recherche de téléchargements gratuits de plugins et de thèmes payants. "En raison de la nature de cette infection, où les administrateurs authentifiés téléchargent et activent directement les programmes malveillants, il est difficile d’empêcher les propriétaires de sites de s’infecter", at-il ajouté.
Si un administrateur de site installe et active un logiciel nulled infecté par WP-VCD, un script de déploiement s'exécute et compromet immédiatement le site. À partir de là, le logiciel malveillant se propage latéralement dans l'environnement d'hébergement affecté, infectant le site WordPress adjacent.
Les sites derrière la distribution de WP-VCD sont généralement très bien classés dans la recherche de thèmes WordPress. "La distribution de la campagne ne repose pas sur l'exploitation de nouvelles vulnérabilités logicielles ni sur le piratage des identifiants de connexion, elle repose simplement sur les propriétaires de sites WordPress recherchant un accès gratuit à logiciel ", a déclaré Veenstra.
"Le programme malveillant WP-VCD se propage sur ce site, voire davantage s'il est présent dans le même environnement d'hébergement et injecte des backlinks dans chacun d'entre eux. Ces backlinks génèrent encore plus de trafic sur les thèmes nullés infectés, et le cycle se poursuit."
Veenstra a déclaré que le modèle de monétisation des logiciels malveillants est auto-réalisateur. "Le code malvertising est déployé pour générer des revenus publicitaires sur les sites infectés. Si l'attaque de nouvelles infections par WP-VCD ralentit, l'attaquant peut déployer du code black hat SEO pour augmenter le trafic des moteurs de recherche sur leurs sites de distribution et attirer de nouvelles victimes."
"Si vous avez engagé un développeur pour créer un nouveau site WordPress, assurez-vous qu'il achète tout son contenu de manière responsable", a-t-il exhorté les propriétaires de sites WordPress à ne pas installer de plug-ins ni de thèmes annulés.
David Kennefick, architecte de produit chez EdgeScan, a déclaré à SC Media UK que les organisations devaient vérifier les plug-ins et les thèmes, ainsi que pour s'assurer que tous les thèmes provenaient de tiers de confiance.
"Les thèmes et les plugins doivent également être inclus dans les évaluations des risques par une tierce partie. Les entreprises ne doivent pas commettre l'erreur de supposer que, du simple fait qu'elles achètent des logiciels / plugins / thèmes, une équipe de développement prête à prendre en charge et corrige la technologie lorsque de nouvelles vulnérabilités sont découvertes ", a-t-il déclaré.
"Le couplage de la vérification des sources de plug-ins et de l'analyse des vulnérabilités contribuera à la protection contre les plug-ins et les thèmes non autorisés. Ces mesures ne fourniront peut-être pas une solution complète au problème, mais elles donneront beaucoup plus de confiance aux organisations dans la technologie qu'elles utilisent."
Paul Ducklin, chercheur principal chez Sophos, a déclaré à SC Media UK que les plugins de blogs peuvent généralement prendre le contrôle de tout ce que vous publiez.
"En d'autres termes, les plugins sont vraiment importants!" il a dit. "Découvrez ce qu'il faut rechercher dans vos journaux. Sachez où trouver un enregistrement de ce que votre serveur Web, votre logiciel de blogging et vos plug-ins ont été à la hauteur. Les attaques se démarquent souvent clairement si vous savez quoi rechercher, et vous le faites régulièrement. "