{"id":1183379,"date":"2024-03-07T14:23:30","date_gmt":"2024-03-07T16:23:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/sites-wordpress-pirates-abusant-des-navigateurs-des-visiteurs-pour-des-attaques-distribuees-par-force-brute\/"},"modified":"2024-03-07T14:23:34","modified_gmt":"2024-03-07T16:23:34","slug":"sites-wordpress-pirates-abusant-des-navigateurs-des-visiteurs-pour-des-attaques-distribuees-par-force-brute","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/sites-wordpress-pirates-abusant-des-navigateurs-des-visiteurs-pour-des-attaques-distribuees-par-force-brute\/","title":{"rendered":"Sites WordPress pirat\u00e9s abusant des navigateurs des visiteurs pour des attaques distribu\u00e9es par force brute"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 mars 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ S\u00e9curit\u00e9 Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Sites-WordPress-pirates-abusant-des-navigateurs-des-visiteurs-pour-des.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs malveillants m\u00e8nent des attaques par force brute contre les sites WordPress en exploitant des injections JavaScript malveillantes, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes de Sucuri.<\/p>\n<p>Les attaques, qui prennent la forme d&#8217;attaques distribu\u00e9es par force brute, &#8220;ciblent les sites Web WordPress \u00e0 partir des navigateurs de visiteurs totalement innocents et sans m\u00e9fiance&#8221;, selon le chercheur en s\u00e9curit\u00e9 Denis Sinegubko. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/03\/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Cette activit\u00e9 fait partie d\u2019une vague d\u2019attaques pr\u00e9c\u00e9demment document\u00e9e dans laquelle des sites WordPress compromis ont \u00e9t\u00e9 utilis\u00e9s pour injecter directement des draineurs de chiffrement tels qu\u2019Angel Drainer ou rediriger les visiteurs du site vers des sites de phishing Web3 contenant des logiciels malveillants draineurs.<\/p>\n<p>La derni\u00e8re it\u00e9ration se distingue par le fait que les injections \u2013 trouv\u00e9es sur <a rel=\"nofollow noopener\" href=\"https:\/\/publicwww.com\/websites\/%22dynamic-linx.com%2Fchx.js%22\/\" target=\"_blank\">plus de 700 sites<\/a> \u00e0 ce jour \u2013 ne chargez pas un draineur, mais utilisez plut\u00f4t une liste de mots de passe courants et divulgu\u00e9s pour forcer brutalement d&#8217;autres sites WordPress.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/freedom728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708095444_689_RustDoor-macOS-Backdoor-cible-les-entreprises-de-crypto-monnaie-avec-de.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;attaque se d\u00e9roule en cinq \u00e9tapes, permettant \u00e0 un acteur malveillant de profiter de sites Web d\u00e9j\u00e0 compromis pour lancer des attaques distribu\u00e9es par force brute contre d&#8217;autres sites de victimes potentielles\u00a0:<\/p>\n<ul>\n<li>Obtention d&#8217;une liste de sites WordPress cibles<\/li>\n<li>Extraire les vrais noms d&#8217;utilisateur des auteurs qui publient sur ces domaines<\/li>\n<li>Injecter le code JavaScript malveillant sur des sites WordPress d\u00e9j\u00e0 infect\u00e9s<\/li>\n<li>Lancer une attaque distribu\u00e9e par force brute sur les sites cibles via le navigateur lorsque les visiteurs atterrissent sur les sites pirat\u00e9s<\/li>\n<li>Obtenir un acc\u00e8s non autoris\u00e9 aux sites cibles<\/li>\n<\/ul>\n<p>&#8220;Pour chaque mot de passe de la liste, le navigateur du visiteur envoie la requ\u00eate API wp.uploadFile XML-RPC pour t\u00e9l\u00e9charger un fichier avec les informations d&#8217;identification crypt\u00e9es qui ont \u00e9t\u00e9 utilis\u00e9es pour authentifier cette requ\u00eate sp\u00e9cifique&#8221;, a expliqu\u00e9 Sinegubko.  &#8220;Si l&#8217;authentification r\u00e9ussit, un petit fichier texte avec des informations d&#8217;identification valides est cr\u00e9\u00e9 dans le r\u00e9pertoire de t\u00e9l\u00e9chargement WordPress.&#8221;<\/p>\n<p>On ne sait pas actuellement ce qui a pouss\u00e9 les acteurs de la menace \u00e0 passer des draineurs de crypto-monnaies aux attaques distribu\u00e9es par force brute, m\u00eame si l\u2019on pense que ce changement pourrait avoir \u00e9t\u00e9 motiv\u00e9 par des motivations de profit, car les sites WordPress compromis pourraient \u00eatre mon\u00e9tis\u00e9s de diverses mani\u00e8res.<\/p>\n<p>Cela dit, les draineurs de portefeuilles cryptographiques ont entra\u00een\u00e9 des pertes s\u2019\u00e9levant \u00e0 des centaines de millions d\u2019actifs num\u00e9riques en 2023, selon les donn\u00e9es de Scam Sniffer.  Le fournisseur de solutions anti-arnaque Web3 a depuis <a rel=\"nofollow noopener\" href=\"https:\/\/drops.scamsniffer.io\/post\/wallet-drainer-exploits-numerical-address-bypass-security-alerts\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> que les draineurs exploitent le processus de normalisation dans le portefeuille <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ethereum\/EIPs\/blob\/master\/EIPS\/eip-712.md\" target=\"_blank\">EIP-712<\/a> proc\u00e9dure d\u2019encodage pour contourner les alertes de s\u00e9curit\u00e9.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-hardened-images-platforms\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Un-nouveau-kit-de-phishing-exploite-les-SMS-et-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le d\u00e9veloppement intervient alors que le rapport DFIR <a rel=\"nofollow noopener\" href=\"https:\/\/thedfirreport.com\/2024\/03\/04\/threat-brief-wordpress-exploit-leads-to-godzilla-web-shell-discovery-new-cve\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> que les acteurs malveillants exploitent une faille critique dans un plugin WordPress nomm\u00e9 3DPrint Lite (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-4436\" target=\"_blank\">CVE-2021-4436<\/a>score CVSS : 9,8) pour d\u00e9ployer le shell Web Godzilla pour un acc\u00e8s \u00e0 distance persistant.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 une nouvelle campagne SocGholish (alias FakeUpdates) ciblant les sites Web WordPress dans lesquels le malware JavaScript est distribu\u00e9 via des versions modifi\u00e9es de plugins l\u00e9gitimes install\u00e9s en tirant parti d&#8217;informations d&#8217;identification d&#8217;administrateur compromises.<\/p>\n<p>&#8220;Bien qu&#8217;il y ait eu une vari\u00e9t\u00e9 de plugins modifi\u00e9s de mani\u00e8re malveillante et plusieurs campagnes de mise \u00e0 jour de faux navigateurs, l&#8217;objectif est bien s\u00fbr toujours le m\u00eame\u00a0: inciter les visiteurs de sites Web sans m\u00e9fiance \u00e0 t\u00e9l\u00e9charger des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance qui seront ensuite utilis\u00e9s comme point d&#8217;entr\u00e9e initial. pour une attaque de ransomware&#8221;, le chercheur en s\u00e9curit\u00e9 Ben Martin <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2024\/03\/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/03\/hacked-wordpress-sites-abusing-visitors.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 mars 2024\ue804R\u00e9dactionVuln\u00e9rabilit\u00e9 \/ S\u00e9curit\u00e9 Web Les acteurs malveillants m\u00e8nent des attaques par force brute contre les sites WordPress en exploitant des injections JavaScript malveillantes, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes de Sucuri. Les attaques, qui prennent la forme d&#8217;attaques distribu\u00e9es par force brute, &#8220;ciblent les sites Web WordPress \u00e0 partir des navigateurs de visiteurs totalement innocents [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1183380,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[29602,200292,8074,25328,4168,4165,4161,200267,133,7307,1209,4159,4171,200271,200268,38974,200269,200270,164,4394,185,128318,4172,4169,2783,4166,16601,4164,51600],"class_list":["post-1183379","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abusant","tag-actualites-sur-la-cybersecurite","tag-attaques","tag-brute","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-distribuees","tag-force","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-navigateurs","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-par","tag-pirates","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sites","tag-violation-de-donnees","tag-visiteurs","tag-vulnerabilite-logicielle","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1183379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1183379"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1183379\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1183380"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1183379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1183379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1183379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}