Regard sur l'intérieur de WP-VCD, la plus grande opération de piratage WordPress du moment

Selon un rapport Wordfence en partage exclusif avec ZDNet, la principale menace des logiciels malveillants WordPress aujourd’hui est une opération criminelle connue sous le nom de WP-VCD, responsable de la grande majorité des sites WordPress piratés.

Le rapport détaille en détail comment le groupe WP-VCD propage son malware, comment fonctionne-t-il, ses objectifs ultimes et les fuites OpSec qui ont peut-être révélé la véritable identité de l'un de ses membres .

Diffusion via des thèmes et des plugins piratés

Mais s'il y a un thème dans tout le rapport, c'est que ces infections auraient pu être très facilement évitées. Le groupe WP-VCD n’utilise pas les vulnérabilités pour pénétrer dans des sites et installer des backdoors.

Au lieu de cela, ils comptent sur les webmasters pour s’infecter en téléchargeant et en installant des thèmes et des plugins piratés (nulled) pour leurs sites WordPress.

Le gang exploite un vaste réseau de sites Web (voir la liste ci-dessous) proposant des thèmes et des plug-ins piratés. Sur ces sites, le groupe propose des téléchargements gratuits de thèmes commerciaux populaires, généralement vendus dans des magasins privés ou sur des sites populaires tels que ThemeForest ou CodeCanyon.

www.download-freethemes.download
www.downloadfreethemes.co
www.downloadfreethemes.space
www.downloadnulled.pw
www.downloadnulled.top
www.freenulled.top
www.nulledzip.download
www.themesfreedownload.net
www.themesfreedownload.top
www.vestathemes.com

Tous ces sites de distribution de thèmes et de plug-ins piratés boobytrapped bénéficient d'un référencement phénoménal. Ils se classent bien dans les résultats de recherche, car tous les sites actuellement piratés qui ont été infectés par le logiciel malveillant WP-VCD bénéficient d'un mot-clé boosté – avec un effet de boucle diabolique classique.

La recherche du nom de tout thème WordPress populaire et du terme "télécharger" donne généralement lieu à deux ou trois de ces sites malveillants, directement en haut des résultats de recherche Google.

Cela garantit efficacement l'arrivée d'un nouveau flux de victimes sur les sites malveillants, alimentant de nouvelles victimes dans le botnet WP-VCD.

Une infection par WP-VCD est généralement assez grave

Une fois que les utilisateurs ont installé l’un des thèmes et plugins boobytrapped qu’ils ont téléchargés à partir de ces sites de distribution, leurs installations WordPress sont piratées et reprises en quelques secondes.

Pour commencer, un compte de porte dérobée portant le nom 100010010 est ajouté à chaque site, garantissant ainsi que les opérateurs WP-VCD disposent d'un moyen d'accéder à l'installation de chaque victime à l'aide d'un utilisateur légitimement enregistré.

Deuxièmement, le malware WP-VCD est ajouté à tous les thèmes du site. Ceci est fait dans le cas où l'utilisateur ne teste que des thèmes piratés. Au cas où ils n'iraient pas avec le fichier infecté, le code WP-VCD sera toujours exécuté à partir des autres thèmes.

Troisièmement, s’il s’agit d’un environnement d’hébergement partagé, le logiciel malveillant se propage également sur le serveur sous-jacent, infectant d’autres sites hébergés sur le même système, pénalisant ainsi les utilisateurs qui ont investi dans la sécurité de leur site, pour se laisser distancer par un webmaster embarrassé.

Comment les escrocs WP-VCD gagnent leur argent

Le but de tout cela est de créer un botnet de sites piratés qui rendent compte à un réseau central de commande et de contrôle (C & C). À partir de là, le groupe WP-VCD peut contrôler ce qui arrive à tous les sites piratés.

Selon Wordfence, le groupe s'est généralement concentré sur deux voies. La première est à leur avantage et consiste à insérer des mots-clés et des backlinks sur leurs sites de distribution.

Ainsi, tous les sites piratés contribuent à améliorer la visibilité des sites de distribution dans les résultats de recherche, alimentant ainsi de nouveaux webmasters crédules.

La deuxième avenue est la façon dont le gang WP-VCD gagne son argent, à savoir la publicité malveillante. Selon Mikey Veenstra, analyste chez Wordfence, le groupe WP-VCD insère des annonces sur des sites Web piratés. Ces annonces contiennent souvent du code malveillant supplémentaire qui ouvre parfois des popups ou redirige les utilisateurs vers d'autres sites malveillants.

Le gang WP-VCD gagne de l'argent via les publicités, mais également grâce à ces redirections pay-per-user, canalisant ainsi les victimes potentielles vers les opérations d'un autre gang visant les programmes malveillants.

Piratage de sites WordPress depuis 2017

Ce modus operandi complexe ne s'est pas construit en un jour. WP-VCD existe depuis au moins février 2017 et est de plus en plus répandu au cours de cette année. [1, 2].

De nos jours, Wordfence affirme que WP-VCD est le groupe de piratage informatique le plus populaire du monde WordPress.

"Selon les résultats de l'analyse des programmes malveillants sur le réseau Wordfence, WP-VCD est installé sur plus de nouveaux sites par semaine que tout autre programme malveillant au cours des derniers mois", a déclaré Veenstra.

"La prévalence des logiciels malveillants est surprenante puisque la campagne elle-même est active depuis plus de deux ans", a ajouté l'analyste Wordfence, soulignant que la plupart des campagnes disparaissent lorsque les webmasters déploient des contre-mesures.

Mais comme WP-VCD exploite le facteur humain (les utilisateurs qui souhaitent installer des thèmes commerciaux sans payer), il n’existe aucune quantité de correctifs ou de pare-feu pouvant empêcher les infections par WP-VCD.

Dans le trou de lapin

Mais cette plongée en profondeur dans les opérations de WP-VCD a également permis de découvrir des indices sur qui pourrait être derrière. Wordfence indique que si la grande majorité des domaines utilisés par le groupe WP-VCD ont été enregistrés avec des protections de la confidentialité, certains plus anciens ont été ignorés.

Plus précisément, certains domaines ont été enregistrés par un homme nommé Sharif Mamdouh, a déclaré Wordfence.

En outre, certains domaines de WP-VCD étaient également liés à des piratages sur des sites Joomla remontant à 2013, selon des plaintes et des détails de piratage que certains administrateurs du site Joomla ont partagés sur des forums de support.

Cependant, il n'est pas clair s'il s'agit d'un nom légitime ou d'une identité volée. La traque du gang WP-VCD nécessitera des enquêtes supplémentaires et, très probablement, une implication de la police.

En attendant, les propriétaires de sites WordPress doivent garder à l’esprit que, lorsque quelque chose est gratuit, "vous êtes le produit" – dans ce cas, votre site, qui a maintenant été transformé en une opération de cybercriminalité.

L'installation de contenu piraté en 2019 est définitivement une sécurité non-non, et ne devrait jamais être effectuée, qu'il s'agisse d'une application de bureau ou d'un thème WordPress.

Pour examiner de plus près la campagne WP-VCD, le rapport Wordfence peut être téléchargé à partir du site de la société.