De faux fichiers jQuery ont infecté des sites WordPress

0

Les chercheurs en sécurité ont repéré des versions contrefaites du plugin jQuery Migrate injectés sur des dizaines de sites Web qui contiennent du code masqué pour charger des logiciels malveillants.

Ces fichiers sont nommés jquery-migrer.js et jquery-migrate.min.js et ze trouvent aux endroits exacts où les fichiers JavaScript sont normalement présents sur les sites WordPress, mais sont en fait malveillants.

À ce jour, plus de 7,2 millions de sites Web utilisent le plugin jQuery Migrate, ce qui explique pourquoi les attaquants déguiseraient leurs logiciels malveillants en utilisant le nom de ce plugin populaire.

Les chercheurs ont repéré de faux fichiers jQuery qui sont des logiciels malveillants

La semaine dernière, les chercheurs en sécurité Denis Sinegubko et Adrian Stoian ont repéré des fichiers jQuery contrefaits se faisant passer pour le plugin jQuery Migrate sur des dizaines de sites Web.

Pour rendre la détection difficile, ces fichiers malveillants remplacent les fichiers originaux et légitimes présents dans ./wp-includes/js/jquery/ sur ces sites Web, ce dernier est l’annuaire où WordPress conserve les fichiers jQuery.

Ces fichiers nommés jquery-migrate.js et jquery-migrate.min.js ont obscurci le code en chargeant un mystérieux fichier nommé analytics.js qui contient du code malveillant.

Bien que l’ampleur de cette attaque reste à déterminer, Sinegubko a partagé une requête de recherche qui montre plus de trois douzaines de pages actuellement infectées par le script analytics malveillant.

Contrairement à son nom, cependant, le fichier d’analyse n’a rien à voir avec l’analyse de statistiques de site Web:

jquery
Source: Bleeping Computer

Le code fait référence à « /wp-admin/user-new.php » qui est la page d’administration WordPress pour créer de nouveaux utilisateurs. En outre, le code accède à la variable _wpnonce_create-user que WordPress utilise pour appliquer les protections cross-site request forgery (CSRF).

D’une manière générale, être en mesure d’obtenir ou de définir des jetons CSRF donnerait aux attaquants la possibilité de faire de fausses requêtes au nom des utilisateurs.

L’injection de scripts comme ceux-ci sur un site WordPress permet aux attaquants de mener une variété d’activités malveillantes, y compris des escroqueries Magecart de carte de crédit ou encore la redirection d’utilisateurs vers des sites frauduleux.

Les utilisateurs peuvent être dirigés vers de fausses enquêtes, escroqueries de soutien technique, être invités à s’abonner à des spams ou télécharger des extensions de navigateur indésirables.

Mais, plus précisément dans ce cas, la fonction checkme() tente de rediriger la fenêtre du navigateur de l’utilisateur vers une URL malveillante.

En particulier, la ligne 15 du script analytics (voir ci-dessus) contient une URL codée avec ses caractères représentés comme numéros ASCII.

Lorsqu’elle est décodée, l’URL a été identifiée comme étant :

https://blow.talkingaboutfirms[.] ga/?sid=54745-33-674347-21&cid=378345&pidi=654368&aid=27833

REMARQUE : Il est conseillé aux lecteurs, par prudence, de s’abstenir de naviguer vers l’URL ci-dessus.

Le script analytics.js redirige d’abord l’utilisateur vers cette URL, ce qui permet à l’utilisateur de passer par une série de redirections vers des URL de spam.

jquery

Dans certains exemples, les pages ont incité à plusieurs reprises l’utilisateur à « autoriser » les notifications de navigateur pour vérifier qu’ils n’étaient pas un robot, ou conduit à de fausses enquêtes visant à recueillir des données utilisateur.

Jusqu’à ce que l’utilisateur clique sur « Autoriser », la séquence de redirection continue de les diriger à travers différents domaines et pages Web montrant à l’utilisateur le même message de manière plus créative.

Un exemple d’enquête sur le spam qui cible l’utilisateur est affiché ci-dessous:

jquery

Une recherche pour cette URL nouvellement identifiée a également révélé plus de deux douzaines de sites Web qui ont été infectés par celle-ci.

Le réseau d’URL de spam utilisées dans la séquence de redirection est également vaste avec plusieurs domaines en jeu.

Taux de détection bas pour VirusTotal

Au moment de la rédaction ce cet article, analytics.js et l’URL identifiée ne seraient pas détectés par plus de 90% des moteurs antivirus, compte tenu des faibles taux de détection sur VirusTotal.

Par conséquent, effectuer des analyses de sécurité de vos sites Web en s’appuyant uniquement sur la numérisation basée sur la signature peut ne pas être suffisant pour détecter le code contrefait qui rôde dans vos instances WordPress.

Nous ne savons pas encore comment ces scripts sont injectés ou se frayent un chemin dans les pages Web des serveurs compromis.

Si votre site web utilise WordPress ou des plugins JavaScript populaires tels que jQuery Migrate, il est bon d’effectuer régulièrement des audits de sécurité approfondis et de vérifier les anomalies qui peuvent indiquer des signes d’activité malveillante.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire

Votre adresse email ne sera pas publiée.