Malveillants WordPress plugin installé porte dérobée sur des milliers de sites Web

 

Widget plugin craché spam aux victimes sans méfiance

Les pirates ont utilisé un plugin WordPress pour installer des portes dérobées sur jusqu'à 200,000 sites Web, allowng spam doivent être téléchargées sur les sites Web sans méfiance.

D'après recherche réalisée par la firme de sécurité informatique WordFence, le plugin, connu comme Widgets d’affichage, doivent être retirés immédiatement par les propriétaires de sites Web. L’entreprise a déclaré que les trois derniers communiqués du plugin contenir le code qui permet à l’auteur de publier tout contenu du site incriminé.

« Les auteurs de ce plugin utilisent la porte dérobée pour publier du contenu de spam sur sites exécutant leur plugin. Au cours du dernier trimestre le plugin a été supprimé et réadmis dans le référentiel de plugin WordPress.org un total de quatre fois, » dit Mark Maunder, -D WordFence.

Miclo a dit que le plugin a été initialement développé par son auteur original comme un plugin open-source, mais a été ensuite vendu à d’autres sur 21 Juin. Une version mise à jour, 2.6.0 a été libéré par son nouveau propriétaire immédiatement. WordFence a été informé par David Law, un UK basée consultant SEO, que le widget avait commencer l’installation de code supplémentaire, puis a commencé à télécharger les données du droit sur le serveur.

Sur 23 Juin, WordFence enlevé affichage Widget, et une semaine plus tard, la nouvelle version propriétaire 2.6.1 du plugin. Cette version contenue un fichier nommé geolocation.php qui, personne n’a réalisé à l’époque, contient du code malveillant. Ce code a permis à l’auteur du plugin afficher un contenu nouveau à n’importe quel site Web en cours d’exécution le plugin, vers une URL de son choix.

« En outre, le code malveillant a empêché tout utilisateur connecté de voir le contenu. En d’autres termes, les propriétaires de sites ne verrait pas le contenu malveillant. Encore une fois, David Law a contacté l’équipe de plugin et leur faire savoir que le plugin est journalisation visites à chaque site Web vers un serveur externe, qui a des incidences de la vie privée, » a déclaré Maunder.

Sur 1 Juillet, le plugin a été tiré depuis le référentiel WordPress, mais ensuite suivi de version 2.6.2 sur 6 Juillet. Encore une fois, inclus le code malveillant référencé ci-dessus, qui avait toujours passé inaperçu par n’importe qui.

C’est sur 23 Juillet lorsqu’un utilisateur, sous le nom de Calvin Ngan ouvrir un billet de Trac reporting que les Widgets d’affichage a été injecte spam contenu dans son site Web. Il a inclus un lien vers les résultats de Google qui a indexé le spam et dit : le code malveillant est en geolocation.php.

En septembre, Version 2.6.3 du plugin est disponible et il inclut le même code malveillant. La semaine dernière, un utilisateur du forum sur WordPress.org a signalé que le spam a été injecté dans leur site Web sur le forum de support du plugin Widgets d’affichage.

« Les auteurs du plugin sont maintenant activement leur code malveillant, commutation entre les sources de spam et travail d’obscurcir (cacher) le domaine ils sont aller chercher spam, » a déclaré Maunder.

Le widget a été supprimé permanentely sur 8 Septembre, mais Maunder traqué les nouvel acheteur de plugin pour un service appelé WP Devs, qui achète plugins ancien et abandonné.

Ses investigations a constaté que la société semble être exécuté par une seule personne aux Etats-Unis et peut-être un autre en Europe de l’est, a en juger par les fautes linguistiques de l’affiche.

Miclo a dit que les gens dans le WordPress Communauté ne devrait pas « commencer toute chasse aux sorcières ».

« Parfois plugins changent de propriétaire et très rarement, qui ne va pas bien. Cela semble être ce qui s’est passé dans ce cas, » dit-il.

Source

2 Commentaires

Laisser une réponse