Les administrateurs WordPress infectent leurs sites avec WP-VCD via des plugins piratés

Les sites WordPress ont été la cible d’une campagne malveillante très active qui les infecte avec un programme malveillant baptisé WP-VCD, qui se cache à la vue et se propage rapidement à l’ensemble du site Web.

Le groupe de pirates informatiques derrière lui s’est également assuré que leur charge utile malveillante est également très difficile à éliminer une fois qu’il parvient à compromettre un site. Pour aggraver les choses, le malware est également conçu pour se frayer un chemin à travers le serveur d’hébergement et infecter tous les autres sites WordPress détectés.

WP-VCD est récemment diffusé par la campagne malveillante la plus active impactant les sites WordPress. L’équipe de renseignements sur les menaces de Wordfence a examiné de plus près le problème en associant des "échantillons de logiciels malveillants WP-VCD individuels à un taux de nouvelles infections plus élevé que tout autre WordPress." malware depuis août 2019. "

Le malware est également "installé sur plus de nouveaux sites par semaine que tout autre malware au cours des derniers mois" et "la campagne ne montre aucun signe de ralentissement".

Ceci est assez remarquable étant donné que le programme malveillant tourne depuis plus de deux ans: le premier cas d'infection à WP-VCD signalé publiquement remonte à février 2017, et les utilisateurs signalent des infections et demandent des conseils sur la manière de s'en débarrasser. d'entre eux sur le forum d'assistance WordPress [1, 2, 3, 4, 5] et à divers autres endroits sur Internet. [1, 2, 3]

Sites de distribution WP-VCD dans les résultats de recherche Google (Wordfence)

Plugins piratés et sites compromis utilisés pour la distribution

Alors que les acteurs de la menace tirent généralement parti des vulnérabilités de sécurité du CMS affectant la plate-forme WordPress pour infiltrer des sites Web et injecter du code malveillant, dans le cas de WP-VCD, ce sont les webmasters qui propagent l'infection sur leurs sites Web.

Cela est dû au fait que les logiciels malveillants sont disséminés à l'aide de copies piratées (également appelées nulled) de thèmes et de plug-ins WordPress actuellement distribuées via un vaste réseau de sites malveillants. Ce sont généralement les premiers résultats dans les résultats de recherche Google qui poussent les sources légitimes de plugins WordPress au bas de la page.

Pour être en mesure de créer une plate-forme de distribution aussi efficace et promouvant leurs sites aux logiciels malveillants, les opérateurs de WP-VCD ont eu recours à un marketing viral complet via des astuces de référencement SEO comme le backlink et l'injection de mots clés dans les sites compromis.

Sites de distribution WP-VCD (Wordfence)

"Cette fonctionnalité alimente la boucle de marketing viral de la campagne. Un propriétaire de site trouve un thème annulé en raison de la visibilité élevée de son moteur de recherche, puis l’installe sur son site", a constaté Wordfence.

Leur réseau de distribution de contenu nulled utilise download-freethemes[.]download en tant que serveur de téléchargement central permettant au groupe de diffuser la même version du logiciel malveillant sur tous les sites d'expédition de logiciels malveillants.

Les propriétaires de sites WordPress et les webmasters peuvent très facilement empêcher une infection WP-VCD selon Wordfence, qui leur recommande de ne pas installer de thèmes et de plug-ins nulled. De plus, "si vous avez engagé un développeur pour créer un nouveau site WordPress, assurez-vous que tous ses contenus sont recherchés de manière responsable."

Wordfence fournit également un guide de nettoyage de site pour les propriétaires de sites déjà infectés et une procédure détaillée sur la sécurisation des sites Web WordPress afin de prévenir de futures attaques.

Infection et monétisation par WP-VCD

"Le programme malveillant WP-VCD se propage sur ce site, voire davantage si il est présent dans le même environnement d'hébergement, et injecte des backlinks dans chacun d'entre eux. Ces backlinks génèrent encore plus de trafic sur les thèmes nullés infectés et le cycle se poursuit."

Une fois le thème ou le plug-in piraté activé sur un site WordPress, le programme malveillant exécutera un script de déploiement qui injectera une porte dérobée dans tous les fichiers de thème installés et réinitialisera l'horodatage afin qu'il corresponde aux valeurs avant que le processus d'injection ne soit détecté.

La porte dérobée "peut recevoir des instructions via des requêtes entrantes et sortantes, ce qui rend son activité plus difficile à suivre" et permet aux opérateurs de déployer du code malveillant sur tous les sites infectés afin "d'activer des injections malveillantes ou de manipuler les résultats des moteurs de recherche pour leurs sites, le cas échéant, puis supprimez-le de l'ensemble de son réseau en supprimant simplement le code de son serveur. "

Le groupe WP-VCD utilise le réseau de sites WordPress infectés à des fins de marketing viral, ce qui leur permet d’accumuler rapidement des revenus publicitaires.

Si les revenus générés par les revenus publicitaires siphonnés s'épuisent, ils peuvent très facilement rallumer la machine black hat SEO et renforcer leurs sites de distribution de programmes malveillants dans Google SERP pour rediriger le trafic des moteurs de recherche, ce qui conduit à l'infection de plus en plus de victimes.

Injecter la porte dérobée dans un fichier de thème (Wordfence)

Le script de déploiement de programmes malveillants est également chargé d’appeler le serveur commande-contrôle (C2) chez lui et d’envoyer aux attaquants l’adresse du site compromis et le mot de passe codé en dur de la porte dérobée. Wordfence a détecté plus de cent domaines WP-VCD C2 tout en surveillant les dernières infections.

Une fois que le site est entièrement compromis, le déployeur est également chargé de supprimer le code malveillant du plug-in ou du thème nulled installé par le webmaster.

"Dans les coulisses, une infrastructure de commandement et de contrôle étendue (C2) et des infections à auto-guérison permettent aux attaquants de conserver un pied sur de tels sites infectés", a révélé Mikey Veenstra, analyste chez Wordfence.

Plus de détails sur le fonctionnement interne de ce malware et une liste complète des indicateurs de CIO (sites compromis), y compris les sites de distribution de contenu annulés, les domaines C2, les domaines SEO black hat et les domaines d'annonces avec hélices utilisés dans la campagne sont disponibles à la fin du WP de Wordfence. -VCD: Livre blanc sur les logiciels malveillants que vous avez installés sur votre propre site.