06 mars 2025Ravie LakshmananViolation de données / sécurité du site Web

Plus de 1 000 sites Web alimentés par WordPress ont été infectés par un code JavaScript tiers qui injecte quatre déambulations distinctes.

“La création de quatre déambulations facilite que les attaquants ayant plusieurs points de rentrée devraient être détectés et supprimés”, chercheur à la côte Himanshu Anand dit dans une analyse mercredi.

Le code JavaScript malveillant s’est avéré être servi via cdn.csyndication[.]com. Au cours de l’écriture, autant que 908 sites Web contiennent des références au domaine en question.

Cybersécurité

Les fonctions des quatre déambulations sont expliquées ci-dessous –

  • Backdoor 1, qui télécharge et installe un faux plugin nommé “Processeur Ultra SEO”, qui est ensuite utilisé pour exécuter les commandes émises à l’attaquant
  • Backdoor 2, qui injecte un JavaScript malveillant dans WP-Config.php
  • Backdoor 3, qui ajoute une clé SSH contrôlée par l’attaquant au fichier ~ / .ssh / autorisé_keys afin de permettre un accès à distance persistant à la machine
  • Backdoor 4, qui est conçu pour exécuter les commandes distantes et récupérer une autre charge utile de Gsocket[.]IO pour ouvrir probablement une coquille inversée

Pour atténuer le risque posé par les attaques, il est informé que les utilisateurs suppriment les clés SSH non autorisées, tournent les informations d’administration WordPress et surveillent les journaux système pour une activité suspecte.

Le développement intervient alors que la société de cybersécurité détaillé Une autre campagne de logiciels malveillants a compromis plus de 35 000 sites Web avec un JavaScript malveillant qui “détourne entièrement la fenêtre du navigateur de l’utilisateur” pour rediriger les visiteurs du site vers des plates-formes de jeu chinois.

“L’attaque semble cibler ou provenir des régions où le mandarin est courant, et les pages de destination finales présentent du contenu de jeu sous la marque« Kaiyun ».

Les redirections se produisent via JavaScript hébergé sur cinq domaines différents, qui sert de chargeur pour la charge utile principale responsable de l’exécution des redirections –

  • mlbetjs[.]com
  • ptfafajs[.]com
  • zuizhongjs[.]com
  • jbwzzzjs[.]com
  • jpbkte[.]com
Cybersécurité

Les résultats suivent également un nouveau rapport du groupe-IB sur un acteur de menace doublé Hurler Cela injecte un Bablosoft JS nommé JavaScript sur des sites Web Magento compromis pour collecter les empreintes digitales des utilisateurs en visite. Plus de 115 sites de commerce électronique seraient touchés à ce jour.

Le script injecté fait partie de la suite Bablosoft BrowserAutomationStudio (BAS), “The Singapourien Company ditl’ajout “Contient plusieurs autres fonctions pour collecter des informations sur le système et le navigateur d’utilisateurs visitant le site Web compromis.”

Il est dit que les attaquants exploitent des vulnérabilités connues affectant les versions vulnérables Magento (par exemple, CVE-2024-34102 aka Cosmicsting et CVE-2024-20720) pour violer les sites Web. L’acteur de menace motivé financièrement a été découvert pour la première fois à la nature fin mai 2024.

“Les empreintes digitales du navigateur sont une technique puissante couramment utilisée par les sites Web pour suivre les activités des utilisateurs et adapter les stratégies de marketing”, a déclaré Group-IB. “Cependant, ces informations sont également exploitées par les cybercriminels pour imiter le comportement légitime des utilisateurs, échapper aux mesures de sécurité et mener des activités frauduleuses.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57