Les pirates utilisent de fausses pages WordPress DDoS pour lancer des logiciels malveillants
Les pirates poussent la distribution de logiciels malveillants dangereux via les sites Web WordPress via de fausses pages de protection contre le déni de service distribué ( DDoS ) de Cloudflare, selon un nouveau rapport.
Comme le rapportent PCMag et Bleeping Computer , des sites Web basés sur le format WordPress sont piratés par des pirates, avec NetSupport RAT et un cheval de Troie voleur de mot de passe (RaccoonStealer) installés si les victimes tombent dans le piège.
La société de cybersécurité Sucuri a expliqué en détail comment les pirates piratent les sites WordPress qui ne disposent pas d'une base de sécurité solide afin de mettre en œuvre des charges utiles JavaScript, qui à leur tour présentent de fausses alertes DDoS de protection Cloudflare.
Une fois que quelqu'un visite l'un de ces sites compromis, il lui demandera de cliquer physiquement sur un bouton afin de confirmer la vérification de la protection DDoS. Cette action conduira au téléchargement d'un fichier 'security_install.iso' sur son système.
À partir de là, des instructions demandent à l'individu d'ouvrir le fichier infecté qui est déguisé en un programme appelé DDOS GUARD, en plus d'entrer un code.
Un autre fichier, security_install.exe, est également présent – un raccourci Windows qui exécute une commande PowerShell via le fichier debug.txt. Une fois le fichier ouvert, NetSupport RAT, un cheval de Troie d'accès à distance populaire, est chargé sur le système. Les scripts qui s'exécutent une fois qu'ils ont accès au PC installeront et lanceront également le cheval de Troie de vol de mot de passe Raccoon Stealer.
Initialement fermé en mars 2022, Raccoon Stealer a fait un retour en juin avec une série de mises à jour. Une fois ouvert avec succès sur le système d'une victime, Raccoon 2.0 recherchera les mots de passe, les cookies, les données de remplissage automatique et les détails de carte de crédit qui sont stockés et enregistrés sur les navigateurs Web. Il peut également voler des fichiers et prendre des captures d'écran du bureau.
Comme le souligne Bleeping Computer, les écrans de protection DDoS commencent à devenir la norme. Leur but est de protéger les sites Web des robots malveillants cherchant à désactiver leurs serveurs en les inondant de trafic. Cependant, il semble que les pirates aient maintenant trouvé une faille pour utiliser ces écrans comme déguisement pour propager des logiciels malveillants.
Dans cet esprit, Sucuri conseille aux administrateurs WordPress de consulter ses fichiers de thème, sur lesquels les acteurs de la menace concentrent leurs efforts. De plus, le site Web de sécurité souligne que les fichiers ISO ne seront pas impliqués dans les écrans de protection DDoS, alors assurez-vous de ne rien télécharger de ce genre.
Les activités de piratage, de logiciels malveillants et de rançongiciels sont devenues de plus en plus courantes tout au long de 2022. Par exemple, un programme de piratage en tant que service offre la possibilité de voler les données des utilisateurs pour seulement 10 $ . Comme toujours, assurez-vous de renforcer vos mots de passe et d'activer l'authentification à deux facteurs sur tous vos appareils et comptes.