Au début du mois dernier, nous avons publié un document complet couvrant WP-VCD, la campagne de logiciels malveillants la plus répandue affectant l’écosystème WordPress de mémoire récente. Dans cet article, nous avons examiné la campagne sous plusieurs angles, tels que le comportement du malware lui-même, sa méthode de distribution et son évolution dans le temps.

La présence de menaces comme WP-VCD exige que les utilisateurs de WordPress restent vigilants sur la sécurité de leurs sites à long terme. Les escroqueries comme celles-ci sont prolifiques pour une raison: elles sont efficaces. Nos données montrent que WP-VCD est encore infecter plus de nouveaux sites par semaine que toute autre campagne de malware active. Même après avoir publié un article sur la campagne, nous n’avons pas encore identifié de changement significatif dans le taux de nouvelles infections.

Ce manque d’impact suggère un problème de démographie des utilisateurs. En termes simples, il est peu probable que la sécurité soit une priorité pour l’utilisateur de WordPress qui télécharge du contenu piraté à partir de sites Web secondaires. Ni le livre blanc lui-même, ni rapports provenant de sources de nouvelles de sécurité populaires sur le sujet, aurait jamais été sur le radar de cet utilisateur. Cela renforce un point important: La sensibilisation est votre outil de sécurité le plus précieux.

Dans l’article d’aujourd’hui, nous allons voir ce qui a changé avec WP-VCD entre le mois dernier et aujourd’hui, et partager quelques conseils pour rester vigilant contre cette menace et d’autres escroqueries comme celle-ci.

Récapitulation: Qu’est-ce que WP-VCD?

WP-VCD est une infection malveillante conçue pour cibler les sites WordPress en se cachant dans des plugins et des thèmes annulés ou piratés. Ses contrôleurs exploitent leurs victimes pour augmenter le classement des moteurs de recherche pour les sites qui distribuent le code infecté. Les attaquants monétisent ensuite la campagne avec des scripts malveillants, qui déclenchent des popups et des redirections potentiellement dangereux pour les visiteurs des sites victimes.

C’est une campagne sophistiquée. Il s’attaque aux utilisateurs WordPress ignorants à la recherche d’un moyen d’obtenir un accès gratuit à du contenu payant. Ensuite, en utilisant des sites nouvellement infectés pour attirer davantage de victimes, il peut maintenir une base fiable de sites compromis même lorsque les victimes précédentes nettoient le gâchis. Enfin, la campagne est résiliente. Si l’un des domaines de commande et de contrôle (C2) de WP-VCD est supprimé, il peut rapidement pivoter dans un nouveau.

Cependant, certains détails n’étaient pas encore clairs au moment de la rédaction du rapport. Nous n’avons pas été en mesure d’identifier où la campagne hébergeait son infrastructure. Tous les domaines utilisés dans la campagne, des sites C2 du malware aux sites optimisés pour le référencement et distribuant le contenu infecté, avaient un DNS acheminé via le réseau de distribution de contenu (CDN) de Cloudflare. Cette abstraction a permis à la campagne de se dérouler sans révéler les adresses IP derrière tout cela.

Intervention de Cloudflare

Cloudflare a agi rapidement lorsque nous avons publié notre rapport. Moins de vingt-quatre heures après la mise en ligne du document, l’accès aux domaines C2 du WP-VCD avait été limité par l’ajout d’une page d’avertissement.

Une page d'avertissement de phishing de Cloudflare.

Une page d’avertissement de phishing de Cloudflare.

Bien qu’un visiteur humain puisse cliquer pour voir le contenu derrière la page d’avertissement, un appel provenant d’un site Web infecté ne serait pas passé. Cela a empêché les sites victimes du WP-VCD d’accéder au /code.php et /o.php points de terminaison, qui ont distribué des instructions et enregistré des sites nouvellement infectés.

Les domaines C2 de la campagne ont été les seuls concernés par cette intervention. Cloudflare n’a pas ajouté d’avertissements aux sites chargés de distribuer les plugins et thèmes infectés.

Exposition DNS

Étant donné que les scripts de logiciels malveillants ne pouvaient plus accéder à leurs sites C2, les contrôleurs de WP-VCD ont été contraints de retirer ces domaines des services de Cloudflare.

À partir du 5 novembre, moins d’un jour après la publication de la campagne dans notre livre blanc, WP-VCD a déplacé sa commande et son contrôle DNS loin de Cloudflare. Le nouveau fournisseur DNS est AliDNS, un service associé à Alibaba, le conglomérat technologique chinois.

Résultats WHOIS pour le domaine C2 trilns.com, montrant les serveurs de noms ALIDNS.COM.

Résultats WHOIS pour le domaine C2 trilns.com, montrant les serveurs de noms ALIDNS.COM.

Alors que Cloudflare fournissait des services CDN qui dissimulaient le serveur principal derrière la campagne, AliDNS ne l’a pas fait. Les enregistrements DNS du domaine C2 pointaient désormais directement vers une seule adresse: 94.156.175.170.

Recherche sur l’hôte

L’adresse IP 94.156.175.170 pointe vers un serveur cPanel appartenant à Verdina LTD, une entreprise apparemment basée au Belize mais avec des serveurs en Bulgarie.

Ce n’est pas la première fois que des pirates utilisent les serveurs de Verdina pour effectuer des activités criminelles sans représailles. En 2016, il a été révélé que Le service DDoS pour la location vDOS a été hébergé sur quatre des serveurs de Verdina. le le service était également connu pour permettre l’usurpation d’adresse IP, ce qui a rendu possibles les services de «stress» comme les vDOS. Les utilisateurs du forum de piratage ont a souligné Verdina en particulier comme exemple d’hôtes qui ont été contraints d’arrêter l’usurpation afin de conserver leur espace d’adresse IP alloué.

Le lien de l’entreprise avec le Belize semble également être exclusivement bureaucratique. L’adresse de l’entreprise indiquée dans Conditions d’utilisation de Verdina, 1 Mapp Street, Belize City, Belize, suggère une relation avec Services aux entreprises internationales, une société financière conçue pour vous aider à créer votre propre société non-résidente au Belize.

Capture d'écran de la page d'accueil de offshorebelize.com.

Capture d’écran de la page d’accueil de offshorebelize.com.

Nous continuons d’enquêter sur les activités associées à l’espace d’adressage IP de Verdina.

Test du serveur hôte

Comme nous l’avons détaillé dans le livre blanc, les sites C2 de WP-VCD tournaient fréquemment à travers de nouveaux noms de domaine. Nous en avons inclus plus d’une centaine dans notre rapport, mais il est prudent de supposer qu’il y en a eu plus. Ce que nous ne savions pas, en raison de leur utilisation d’un CDN, était de savoir si les attaquants faisaient également tourner les serveurs dans les coulisses. Avec un nom de domaine pointant désormais vers un serveur, nous devions tester si ce serveur pouvait être lié à des domaines C2 précédemment utilisés.

Par exemple, le domaine C2 actif au moment de la rédaction de cet article est www.trilns.com (Noter la www. dans l’adresse, ces domaines ont toujours exigé la www. sous-domaine à résoudre). Une requête HTTPS au 94.156.175.170 pour le nom d’hôte www.trilns.com recevra un certificat TLS valide pour le domaine, qui a été généré par le serveur cPanel exécutant le site. Étant donné que l’administrateur du serveur devrait générer intentionnellement chaque certificat, nous pourrions tester le serveur pour l’existence de certificats associés à des domaines C2 antérieurs.

Capture d'écran du certificat signé par cPanel pour le domaine C2 www.ratots.com.

Capture d’écran du certificat signé par cPanel pour le domaine C2 www.ratots.com.

Lors de nos tests, nous avons pu confirmer la présence de certificats cPanel valides pour tous les domaines de commande et de contrôle que nous avons testés, même ceux qui n’étaient pas activement utilisés depuis des années. Nous avons également confirmé que ce serveur héberge ins.spekt.pw, un domaine utilisé dans le cadre de la campagne de marketing viral de WP-VCD.

Les sites de téléchargement intensifs en SEO restent derrière Cloudflare

Cependant, une partie de la campagne que nous n’avons pas pu associer à ce serveur était la distribution de plugins et de thèmes infectés. Alors qu’une vieille version cassée de vestathemes.com pourrait être trouvé sur 94.156.175.170 avec un certificat expiré, nous avons déterminé que le serveur n’était pas l’hôte actuel de celui-ci ou des autres sites du réseau de distribution comme downloadfreethemes.co et freenulled.top. Nous n’avons pas non plus trouvé le serveur d’origine derrière le site hébergeant les fichiers zip infectés réels, download-freethemes.download.

Capture d'écran d'une demande DIG montrant DNS Cloudflare utilisé sur download-freethemes.download.

Capture d’écran d’une demande DIG montrant DNS Cloudflare utilisé sur download-freethemes.download.

Chacun de ces sites, points d’entrée permettant aux administrateurs WordPress ignorants de s’infecter avec WP-VCD, était toujours protégé par le CDN de Cloudflare. On ne sait pas pour l’instant pourquoi Cloudflare est intervenu avec des pages d’avertissement sur les domaines C2 mais pas sur les sites atteints par les visiteurs humains.

… Mais nous les avons quand même trouvés

Le serveur C2 au 94.156.175.170 diffuse son nom d’hôte comme vesta.vestathemes.com. Dans cet esprit, nous avons cherché Shodan pour les autres noms d’hôtes ou bannières de service associés au vestathemes Nom. Deux adresses différentes s’appelaient server2.vestathemes.com: 94.156.175.192 et 94.156.175.193.

En utilisant les mêmes tests que précédemment, nous avons déterminé que 94.156.175.192 est l’adresse IP d’origine derrière le réseau de distribution de contenu annulé. Cela inclut les domaines optimisés pour le référencement faisant la publicité des plugins et des thèmes infectés, ainsi que download-freethemes.download, le site à partir duquel les zips sont réellement téléchargés.

L’adresse restante, 94.156.175.193, est toujours sous enquête. Nous n’avons associé de manière affirmative ce serveur à aucune activité tournée vers l’extérieur. Cependant, naviguer directement vers l’une des adresses IP et forcer une page cPanel 404 révèle un mailto: lien pour x1ngbox@gmail.com. Ceux qui liront le livre blanc WP-VCD le reconnaîtront comme l’adresse e-mail principale associée à la campagne WP-VCD.

Une page 404 générée par cPanel à partir de 94.156.175.193, reliant le serveur à l'e-mail x1ngbox@gmail.com.

Une page 404 générée par cPanel à partir de 94.156.175.193, reliant le serveur à l’e-mail x1ngbox@gmail.com.

Conseils pour rester vigilant contre les escroqueries

  1. Soyez responsable avec le code tiers que vous ajoutez à votre site Web. Bien que WP-VCD soit assez simple à éviter en évitant les plugins et les thèmes annulés, l’histoire récente a montré que même les développeurs ostensiblement légitimes sont capables d’ajouter du code douteux à leurs produits.
  2. Si vous ne gérez pas personnellement le développement de votre site Web, assurez-vous de faire entièrement confiance aux personnes auxquelles vous avez attribué la tâche. Les développeurs de «concerts» moins que réputés, qui prétendent offrir des constructions de site personnalisées complètes à un prix trop beau pour être vrai, coupent souvent les coins qui vous coûteront au moins des maux de tête. Même s’ils n’ont pas l’intention d’infecter votre site Web, ils sont toujours intéressés à réduire les coûts en obtenant des thèmes commerciaux gratuitement, et ils ne restent pas assez longtemps sur votre site pour s’assurer qu’il est propre.
  3. En règle générale, ne faites jamais confiance à une page que vous n’aviez pas l’intention de visiter. WP-VCD et d’autres campagnes d’attaques récentes ont été identifiés en injectant des scripts de malvertising. Ces scripts redirigent les visiteurs d’un site vers des emplacements indésirables. Ces pages tentent de vous inciter à leur donner ce qu’ils veulent. Cela inclut l’hameçonnage pour les connexions avec des revendications telles que «Vous devez vous connecter à votre compte Google pour afficher ce contenu» ou vous inviter à participer à une arnaque de support technique en affirmant que votre appareil est corrompu ou infecté. Ils demanderont également aux utilisateurs mobiles l’autorisation de recevoir des notifications push, qui peuvent être utilisées pour envoyer d’autres notifications de spam.
  4. Visitez régulièrement vos sites à partir de nouveaux appareils et emplacements sans vous y connecter. Le code malvertisant de WP-VCD tente de se cacher des administrateurs en stockant un cookie sur leur appareil et en enregistrant l’adresse IP à partir de laquelle ils se sont connectés. De cette façon, même si l’administrateur se déconnecte, il peut toujours se cacher jusqu’à ce qu’il efface ses cookies et se connecte à partir d’une nouvelle adresse IP. Cette technique n’est pas unique à WP-VCD et peut être utile pour identifier d’autres activités malveillantes qui seraient autrement passées inaperçues.
  5. Si votre site a été victime de WP-VCD ou d’une autre infection par un logiciel malveillant, vous devez informer vos utilisateurs le plus rapidement possible. La propriété responsable du site signifie être franc sur le fait que les visiteurs de votre site peuvent avoir rencontré un code dangereux. De plus, selon la façon dont les navigateurs mettent en cache votre site, certains de vos visiteurs peuvent toujours voir une version infectée pendant un certain temps après l’avoir nettoyée. Donner à vos utilisateurs un avertissement n’est pas seulement la chose éthique à faire, cela leur montre que leur sécurité est une priorité.

Conclusion

Les acteurs à l’origine de la campagne WP-VCD ont montré qu’ils réagissent rapidement lorsque des changements d’infrastructure sont nécessaires. Il est possible que de nouveaux changements se produisent à la suite de la récente fuite d’informations de la campagne. Il est difficile de dire comment cette campagne pourrait évoluer au fil du temps. Les tendances persistantes dans la détection de nouvelles infections à WP-VCD suggèrent que la campagne est toujours aussi forte.

Empêcher votre site de devenir victime de WP-VCD est simple: n’installez pas de plugins ou de thèmes annulés. Non seulement cela prend de l’argent aux personnes qui ont créé le contenu, mais l’approvisionnement en code à partir de sources non fiables a des implications négatives claires pour la santé de votre site Web.

Parce que la sensibilisation est la défense la plus efficace contre l’infection de votre propre site, vous pouvez aider à diffuser cette défense à travers l’écosystème WordPress. Partagez le livre blanc WP-VCD, informez et éduquez les utilisateurs moins techniques afin qu’ils soient responsabilisés contre les acteurs malveillants qui s’attaquent à un manque de sensibilisation. WordPress est plus fort grâce à la communauté, et nos efforts éducatifs nous rendent tous plus forts.

Si vous souhaitez en savoir plus sur WP-VCD et que vous ne l’avez pas déjà lu, consultez notre rapport: WP-VCD: le logiciel malveillant que vous avez installé sur votre propre site.


Source link

%d blogueurs aiment cette page :